Стани премиум член и добиј попуст на 2000+ производи и куп други бенефити!
  • Важно
    Имате проблем со најава или регистрација на it.mk?
    Побарајте го решението на вашиот проблем ТУКА!

Samsung’s Android app-signing key has leaked, is being used to sign malware

gdamjan

Unstoppable
3 април 2008
3.773
2.880
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux

omegaRED

Adeptus Astartes
13 септември 2011
2.516
3.458
Скопје
omegaRED's setup  
Processor & Cooler
AMD Ryzen 5800X & NZXT Kraken X63
Motherboard
ASUS TUF Gaming X570 Plus
Storage
2TB Samsung 970 EVO Plus, 1TB Silicon Power P34A80, 6TB WD Red + 2TB Toshiba
PSU
CoolerMaster Vanguard V1000
RAM
4 x 8GB Kingston HyperX @ 3600 MHz
Video card
MSI RTX4090 Suprim X
Case
NZXT H710i black/white
Mouse
Logitech G903 Lightspeed
Keyboard
Keychron Q3
Audio
SteelSeries Arctis Pro Wireless & Logitech X540
Monitor
LG UltraWide 38WN95C-W
OS
Windows 10 x64 Pro

Gilfoyle

Practice makes perfect
10 септември 2009
549
1.934
А свесни се од 2016-та, и уште го користат истиот клуч :-/

Испратено од SM-N986B преку IT.mk форум апликација
Па не е дека баш може нешто да изреагираат сега и да сакаат.

И во текстот е пишано многу добро напишано само не знам зошто и авторот се запрашува а си го има дадено одговорот:

It's not clear why Samsung continues to use the key. Android's APK Signature Scheme V3 allows developers to change app keys with just an update—you authenticate an app with the new and old key and indicate that only the new key is supported for updates. This is a requirement for Play Store apps, but again, system apps from OEMs are not subject to any of the Play Store rules, so some OEMs are still using the old v2 signature scheme.

По некоја статистика ако земеме дека Самсунг годишно продава average од 300 милиони единици, тоа би значело дека од 2016 до 2022 има продадено 1,8 милијарди телефони, со минимум 10 различни верзии на оперативни системи, минимум две различни архитектури на процесори на минимум неколку илјади различни модели на уреди (телефони, таблети).

Се е супер за аплиакциите што одат преку Google Play Store, сите тие користат два клуча, стариот за идентификација што е дисејблиран и новиот што е заменет, со тие два клуча и уште два триесет различни проверки Google дозволува да се направи update на х апликација на Play Store.

Проблемот е се ОЕМ апликациите што до 2018-2019 воопшто не беа дел од Play Store интеграцијата и се шипуваа директно на телефон, односно:
Phone
Contacts
Camera
Gallery
Music
итн.

Сите овие апликации се потпишани со тој клуч. Дента кога Самсунг ќе реши да направи revoke на клучот, околу 90% од продадените уреди ќе останат цигли бидејќи ниту една апликација нема да може да се отвори и ништо нема да функционира.

Не верувам дека има било каква можност некој да најде начин како да ги надогради сите тие апликации со сите тие различни верзии стари со години на цирка 1 милијарда уреди што немаат веќе законска поддршка да ги одржуваат.

Не е дека ова што го прават во ред, ама сигурно кога седнале на маса одлучиле дека повеќе им се исплати да седнат со google и да дојдат до некое вакво решение со multichecks отколку да прават било каква друга глупост што може со една грешка да заврши со милиони уреди што во буквална смисла ќе станат цигли.
 

gdamjan

Unstoppable
3 април 2008
3.773
2.880
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
И во текстот е пишано многу добро напишано само не знам зошто и авторот се запрашува а си го има дадено одговорот:
кажува дека нема кој да им нареди (како google кога сакаш да ставиш app на play store)
тоа не значи дека не можат да ги направат update-тите сами (и тој пасус се однесува на v2 signature scheme).

Но главното прашање не е зашто користат v2 signature scheme, туку зашто користат пробиен клуч.
Многу аматерски од Samsung, за корпорација која продава миљарди уреди, ова не смее да биде толерирано.

се надевам ќе почнат да се плаќаат казни за вакви работи.
 

TylerMkD

Guru
7 ноември 2014
4.475
9.503
Па не е дека баш може нешто да изреагираат сега и да сакаат.

И во текстот е пишано многу добро напишано само не знам зошто и авторот се запрашува а си го има дадено одговорот:



По некоја статистика ако земеме дека Самсунг годишно продава average од 300 милиони единици, тоа би значело дека од 2016 до 2022 има продадено 1,8 милијарди телефони, со минимум 10 различни верзии на оперативни системи, минимум две различни архитектури на процесори на минимум неколку илјади различни модели на уреди (телефони, таблети).

Се е супер за аплиакциите што одат преку Google Play Store, сите тие користат два клуча, стариот за идентификација што е дисејблиран и новиот што е заменет, со тие два клуча и уште два триесет различни проверки Google дозволува да се направи update на х апликација на Play Store.

Проблемот е се ОЕМ апликациите што до 2018-2019 воопшто не беа дел од Play Store интеграцијата и се шипуваа директно на телефон, односно:
Phone
Contacts
Camera
Gallery
Music
итн.

Сите овие апликации се потпишани со тој клуч. Дента кога Самсунг ќе реши да направи revoke на клучот, околу 90% од продадените уреди ќе останат цигли бидејќи ниту една апликација нема да може да се отвори и ништо нема да функционира.

Не верувам дека има било каква можност некој да најде начин како да ги надогради сите тие апликации со сите тие различни верзии стари со години на цирка 1 милијарда уреди што немаат веќе законска поддршка да ги одржуваат.

Не е дека ова што го прават во ред, ама сигурно кога седнале на маса одлучиле дека повеќе им се исплати да седнат со google и да дојдат до некое вакво решение со multichecks отколку да прават било каква друга глупост што може со една грешка да заврши со милиони уреди што во буквална смисла ќе станат цигли.
Јас мислам проблемот кај Самсунг е во објаснувања баш како твоите. Толку потрошено време за да се објасни зашто е така како што е, дека така мора да биде - место на солуција на проблем. Абе Стив Џобс малтене со секира им влагал и им кажувал да поправаат работи на уреди за кој појма немал, и самиот признавал.

Срамота е да има вакви пропусти, јасно е дека Самсунг по 2 години заборава дека телефоните постојат.
 

Gilfoyle

Practice makes perfect
10 септември 2009
549
1.934
Јас мислам проблемот кај Самсунг е во објаснувања баш како твоите. Толку потрошено време за да се објасни зашто е така како што е, дека така мора да биде - место на солуција на проблем. Абе Стив Џобс малтене со секира им влагал и им кажувал да поправаат работи на уреди за кој појма немал, и самиот признавал.

Срамота е да има вакви пропусти, јасно е дека Самсунг по 2 години заборава дека телефоните постојат.
Објаснувања како моите на форумов се поткрепени а не се фанбој мислења, ако ти сметаат можеш секако да ги исклучиш.

Не реков дека ова што го прави Самсунг чини туку објаснив што ќе се случи ако некој како тебе мисли дека може да се реши со плукни залепи, као демек правиш revoke и кој ги ги врти милијарда корисници што дале пари за да имаат телефон а не цигла.

Apple го преземаа начинот на signing на апликации што го имаше Nokia со Symbian, секоја sideloaded апликација со еден sign траеше 30 дена ако не се лажам, сега Apple после spyware-ите го намали на 14 дена. Ако апликацијата е преземана преку нивните stores тогаш нема проблем.

Се слагам со @gdamjan и треба да биде казнето ова ама пак стојам на тоа дека нема што да се направи за да се среди проблемот со клучот.
 

FLEGMA

Illuminator
2 август 2012
11.233
18.494
Абе Стив Џобс малтене со секира им влагал и им кажувал да поправаат работи на уреди за кој појма немал, и самиот признавал.
Многу ти се има допаднато филмот, значи многу!
 

Oktar

Хаќер без дрон
23 октомври 2012
5.779
17.557
Skopje
Oktar's setup  
Processor & Cooler
Intel® Core™ i9-9900k + Noctua NH D15 Chromax.black
Motherboard
Asus Prime Z370-A
Storage
SM951 256 + PM981 512 + 850 Pro 512 + 840 Evo 250 + WD Blue 1TB + WD Red 2TB + WD Red 3TB
PSU
Cooler Master Vanguard v850
RAM
Kingston HyperX Predator 2x16GB Kit (2x8GB) DDR4 3200MHz
Video card
MSI RTX3080 SuprimX
Case
BeQuiet Pure Base 600
Mouse
Logitech MX Master 2, Logitech MX Master 3, Logitech Wireless G Pro, Logitech G703
Keyboard
Keychron Q2, Keychron Q6, Logitech MX Keys Mini
Monitor
Dell U2515H
OS
Windows 11 + MacOS

Нови мислења

Последни Теми

Статистика

Теми
48.653
Мислења
998.574
Членови
36.601
Најнов член
mewbrooks630333
На врв Дно