LINUX.ORG.RU
ФорумTalks

Ужастики на ночь для владельцев ведройда

 


0

1

Всем здрасте. Делюсь небольшим наблюдением.

Имеется: а). Умнотелефон от Oneplus с биометрическим датчиком б). Интерес, желание разобраться, знание шелла и щипотка паранойи

И вот что я заметил опытным путём. Даже если вы в своё ведро не добавляли ни одно отпечатка пальцев, даже если у вас выключена эта функция в настройках, ВСЕГДА как только вы прикасаетесь к кнопке с биометрическим датчиком, активируется сервис android.hardware.biometrics.fingerprint@2.1-service , и не просто активируется, а висит в активных жрёт до 50% процессора и не выключается, пока вы не отпустите палец, то есть by design, телефон хватается за любую возможность выцепить скан вашего отпечатка пальца, даже если вы того не желаете(если же забрать права на чтение и исполнение у этого сервиса, то кнопка ДОМ, просто перестает реагировать на что бы то ни было, так что либо либо, докатились, скоро кнопки вкл\выкл будут работать через драйвера и микроконтроллеры с собственной подсистемой), не активировали эту функцию, и у вас нету ни одного отпечатка в телефоне, на лицо то что называется dark patterns, о чём я писал ранее, только касательно служб определения местоположения в том же ведройде. Кроме того, служба может быть легко модифицирована, т.к. функционирует через Hardware Abstraction Layer и все ваши отпечатки пальцев улетят бог знает куда в итоге, особенно если речь идёт про китайские нонеймы с предустановленными малварями. Будьте остороны с неизвестными железками делающими непонятно что и уж тем более не давайте им свои отпечатки пальцев бога ради!

Tasks: 594 total,   1 running, 588 sleeping,   0 stopped,   0 zombie                                                                                                                                  
Mem:   5874852k total,  5352896k used,   521956k free,    90656k buffers                                                                                                                              
Swap:        0k total,        0k used,        0k free,  1691664k cached                                                                                                                               
400%cpu  22%user   0%nice  81%sys 291%idle   0%iow   4%irq   2%sirq   0%host                                                                                                                          
  PID USER         PR  NI VIRT  RES  SHR S[%CPU] %MEM     TIME+ ARGS                                                                                                                                  
 8816 system       20   0  19M 8.4M 1.8M S 46.6   0.1   0:59.54 android.hardware.biometrics.fingerprint@2.1-service
  558 system       -2  -8  71M  25M  11M S 11.0   0.4 119:42.25 surfaceflinger
  520 system       -3  -8  44M  18M 3.2M S  8.0   0.3  35:55.33 android.hardware.graphics.composer@2.1-service
15818 root         20   0  10M 5.2M 1.5M R  6.0   0.0   0:00.64 top
13810 root         20   0  10M 4.7M 1.5M S  5.6   0.0   1:59.86 top

Пример загрузки процессора службой при касании сенсора костяшкой ладони, в настройках выключено задействование отпечатков пальцев каким бы то ни было образом.



Последнее исправление: cheetah111v (всего исправлений: 3)

А еще андроид всегда на голос реагирует.

Siado ★★★★★
()

а висит в активных жрёт до 50% процессора и не выключается, пока вы не отпустите палец, то есть by design, телефон хватается за любую возможность выцепить скан вашего отпечатка пальца

Чтобы сделать такой вывод, нужно найти что этот отпечаток пальца сохраняется в флеш памяти или передается куда-то по сети. Но тут поработать нужно, не то что на лор набросить. А так что это за разоблачение, такое можно объяснить говнокодом, что отпечаток считывается в любом случае, даже если в памяти нет отпечатков.

goingUp ★★★★★
()
Последнее исправление: goingUp (всего исправлений: 1)
Ответ на: комментарий от goingUp

Поясняю: Говнокод может быть не случаен, а намеренно и умышленно так реализован функционал считывания отпечатка, естественно в AOSP ничего никуда не отсылается(я не проверял лично), но вся эта история потворствует тем, кто пишет прошивки или делает свои версии на основе AOSP добавить этот функционал буквально несколькими строками кода в HAL, а передавать там вполне себе есть что, все отпечатки всех пальцев когда либо трогавших данный сенсор, ведь он работает всегда и независимо ни от чего.

cheetah111v
() автор топика
Ответ на: комментарий от cheetah111v

вся эта история потворствует тем, кто пишет прошивки или делает свои версии на основе AOSP добавить этот функционал буквально несколькими строками кода

Окей, предположим гугл сделали как вы хотите и при отсутствии отпечатков в ситеме датчик больше не включается. Что помешает тем, кто делает кастомные прошивки, исправить это все обратно и читать данные с датчика 24x7?

а передавать там вполне себе есть что, все отпечатки всех пальцев когда либо трогавших данный сенсор

И в чем профит от этих данных? И пусть меня поправят если я не прав, но там данные такого плана, что полезны они будут только конкретно этому датчику, то есть в другие датчики его запихнуть не получится и фото отпечатка получить тоже не выйдет. Зачем эти данные злоумышленнику?

Увы, в современном мире приходится находить баланс между удобством и паранойей. Вы же не переживаете, например, что ваш опсос видит кому вы звоните, или что товарищ майор следит за вашими сообщениями на лоре, тут то же самое - либо вы соглашаетесь с рисками и пользуетесь, либо крутите шапочку из фольги и разблокируете паролем (которые, конечно, отправить куда-нибудь нет никакой возможности).

micronekodesu ★★★
()

Ну, допустим есть отпечатки пальца какого-то ноунейма.
Как их сопоставить с какой-то личностью?

annerleen ★★★★☆
()

Не думал, что просто вся логика работы с этой кнопкой вынесена в этот сервис? В том плане, что он в этом режиме может не считывать отпечаток, а просто обрабатывать нажатие? А грузит CPU, потому что джава и индусы. Это раз. Два. Сенсоры обычно не выдают картинку, а некий хеш отпечатка. Так что данные актуальны только для этой модели сенсора. Три. Чтобы датчик адекватно работал требуется 5-10 раз коснуться одним и тем же пальцем в разных положениях при настройке сенсора. И то на бюджетках оно всё равно не идеально работает. Так что не факт, что без знания, что набор картинок принадлежит одному и тому же человеку и это один и тот же палец, вообще что-то можно получить. Четыре. Ну вот, допустим, я слил твои данные отпечатка. Что дальше с ними делать? С данными кредитки примерно понятно, а с отпечатком что? Искать тебя на улице, отжимать телефон и разблокировать копией пальца? Только вот мы уже имеем троян, может сразу добавить слив данных?

При получении заграна ты сдаешь отпечатки. При получении Шенгена ты сдаешь отпечатки. При въезде в Китай теперь тоже нужно сдавать отпечатки (в аэропорту Пекина стояла куча терминалов самообслуживания). А если ты сидишь безвылазно в России, то нафига китайцам и американцам твои отпечатки?

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от micronekodesu

И в чем профит от этих данных? И пусть меня поправят если я не прав, но там данные такого плана, что полезны они будут только конкретно этому датчику, то есть в другие датчики его запихнуть не получится и фото отпечатка получить тоже не выйдет. Зачем эти данные злоумышленнику?


В данном случае злоумышленнику нужны ваши отпечатки только разве что для активации банковской операции со счётом и то это из области фантастики. Ну а то что автор утверждает что Уанплас собирает и возможно отсылает данные то вполне возможно, что отсыл идёт непосредственно для спецслужб. Те в свою очередь собирают данные по каждому для досье, которое в свою очередь им понадобится только в случае заинтересованности этим человеком.

Ramil ★★★★
()
Ответ на: комментарий от annerleen

Ну, допустим есть отпечатки пальца какого-то ноунейма.
Как их сопоставить с какой-то личностью?


Номер телефона, лицо, фамилия, имя, отчество, эмэйл, голос и т.д.

Ramil ★★★★
()
Ответ на: комментарий от KivApple

При получении заграна ты сдаешь отпечатки. При получении Шенгена ты сдаешь отпечатки. При въезде в Китай теперь тоже нужно сдавать отпечатки (в аэропорту Пекина стояла куча терминалов самообслуживания). А если ты сидишь безвылазно в России, то нафига китайцам и американцам твои отпечатки?


А представь что ты напрмер русский хакер, заинтересовал амеров, у них есть твои отпечатки. Ты въехал в одну островную страну на отдых, по их запросу ты попался в аэропорту, депортация, тюрьмэ.

Ramil ★★★★
()

костяшкой ладони

ты мутант?

imul ★★★★★
()

и уж тем более не давайте им свои отпечатки пальцев бога ради!

А кто сказал что нужно прикладывать палец? Есть и другие органы с папиллярным узором, можно их приложить.

e000xf000h
()

служба может быть легко модифицирована, т.к. функционирует через Hardware Abstraction Layer

Заявлять такое без действующего эксплоита очень самонадеянно. Я уверен на 99.9%, что сутевая часть сервиса подписана и мамкеным какерам встать посередине никак не выйдет.

А то, что гугл всех имеет на пару с федералами - это ты прям Америку открыл :)

pon4ik ★★★★★
()

УУууууу, ну все, я в лес поехал жить, продаю всю свою носимую электронику и покупаю ствол и пару ящиков тушенки.

Не, ну какая в жопу разница берет оно мои пальцы или нет? Откуда вы лезете вообще, а? В 2019 не ясно что все личные данные тырятся при первой же возможности?

karton1 ★★★★★
()
Ответ на: комментарий от Satou

У вас там говорят ещё и сим-карты по паспорту продают.

annerleen ★★★★☆
()
Ответ на: комментарий от annerleen

В записной книжке. А эмэйл типо не знает твоего ФИО? Более того соцсети содержащие этот же эмэйл легко показываю ФИО в телефоне, сервисах и еще где попало.

Ramil ★★★★
()
Ответ на: комментарий от annerleen

На основе социальных графов и собранных данных. Был же опыт, что после посещения 4 популярных сайтов можно с 90% вероятностью определить личные данные пользователя (и фамилию и email и все что не него есть). Разве что ты вообще кроме ЛОРа никуда не заходишь.

bitfroster ★★
()

Через слой изоленты будет считывать?

polym
()

А открыть исходники и заглянуть что именно он там делает, ты не пробовал?

ncrmnt ★★★★★
()

касание сенсора костяшкой ладони


А-ааа!!!!1 Рептилойд в треде!

Manhunt ★★★★★
()

А чем лучше отдавать отпечатки в гугл или эппл?

turtle_bazon ★★★★★
()
Ответ на: комментарий от micronekodesu

Надо мизинец на отпечаток заводить. Чтобы, в случае чего, мизинец не жалко было бы потерять. Точнее, не так жалко. :)

ПС: сарказм, для особо одарённых.

turtle_bazon ★★★★★
()
Ответ на: комментарий от Ramil

Тогда можешь без телефона въезжать, всё равно депортация, турма.

turtle_bazon ★★★★★
()

А ты думал там хардварный выключатель ?

vasya_pupkin ★★★★★
()
Ответ на: комментарий от KivApple

Окей. Сенсор выдает хеш отпечатка, но на самом деле, сенсор выдает отпечаток пальца, а контроллер сенсора уже его преобразует в определенный шифт цифро-буквенный, обратным инженерством можно его преобразовать в отпечаток снова, имея хеш-функцию и саму сумму, об этом подумай.

Что делать с моим отпечатком пальцев? Это уже отдельный вопрос, а текущий вопрос в том, что я не хочу чтобы биометрические параметры моего ТЕЛА, без особого моего согласия и уведомления были каким бы то ни было образом обработаны и считаны, это нарушение моих человеческих прав, прав личности и индивида. А на счёт usecase можно придумать массу, от оперирования спец-службами и составления наиглобальнейшей базы дактилоскопических данных, либо привязка к конкретным ДЕЛАМ на особей еще и их биометрии, знал ли ты дружок, что твой отпечаток пальца может быть воссоздан из силикона при наличии фото не очень большого разрешения? А потом например, в нужное время в нужном месте приложен к орудию какому бы то ни было? Ну, а из простого - авторизация ими же самим в их собственных банковских аакантах.

cheetah111v
() автор топика
Ответ на: комментарий от kirk_johnson

Вот это ерунда, откуда им там взяться, если у меня нету приводов, если я не сдавал их при получении визы, если я не пользуюсь подобными девайсами сканирующими отпечатки?

cheetah111v
() автор топика
Ответ на: комментарий от Ramil

Причём в случае со спец-службами варианты могут быть самыми умопомрачительными с использованием этого отпечатка, ведь его можно воссоздать и отпечатать где-то в нужном месте, может быть на месте убийства, а может быть на меченых купюрах, может быть на тюбике с боевым отравляющим веществом, и это будет 100%-ая улика против человека, а он что, этот человек, он просто оказался в неудобном месте, в неудобное время, да еще и с айфоном который его отпечаток зафиксировал(вместе с 3д снимком головы и лица).

cheetah111v
() автор топика
Ответ на: комментарий от micronekodesu

Окей, предположим гугл сделали как вы хотите и при отсутствии отпечатков в ситеме датчик больше не включается. Что помешает тем, кто делает кастомные прошивки, исправить это все обратно и читать данные с датчика 24x7?

Эти сервисы представляют из себя некую базовую фундаментальную часть самого ведройда, их конкретно никто не модифицирует, они являются неким ядром самого AOSP, на основе которого делаются уже кастомные прошивки, уже в которых ты можешь добавлять функционал по запросу через HAL к android.hardware.biometric, и если бы гугл не захотел подобной утечки отпечатков, он бы мог сделать логику работы сервиса иным образом, то есть выключая сенсор при отсутствии в системе добавленных отпечатков, но они намеренно сделали так, чтобы даже если вы не пользуетесь сенсором, стороние приложения или внутренние малвари\сервисы могли обращаться к сервису и брать оттуда нужную инфу.

cheetah111v
() автор топика

Ужастики на ночь для владельцев ведройда
ведройда

КЛБ!

SevikL ★★★★★
()
Ответ на: комментарий от cheetah111v

если я не сдавал их при получении визы, если я не пользуюсь подобными девайсами сканирующими отпечатки?

В евросоюз нужны уже год или два. Если ты из РФ не выбираешься, какая разница, кто там что в Китае знает?

kirk_johnson ★☆
()
Ответ на: комментарий от cheetah111v

и если бы гугл не захотел подобной утечки отпечатков, он бы мог сделать логику работы сервиса иным образом

Хорошо, я это уже понял, у меня был другой вопрос - "Что помешает тем, кто делает кастомные прошивки, исправить это все обратно и читать данные с датчика 24x7?"

Эти сервисы представляют из себя некую базовую фундаментальную часть самого ведройда, их конкретно никто не модифицирует, они являются неким ядром самого AOSP, на основе которого делаются уже кастомные прошивки

У меня есть все исходники проекта ("OS" в AOSP говорит об этом), значит при сборке своей прошивки я могу там делать что угодно - ядро\не ядро, без разницы. Если бы речь шла о том, чтоб запретить приложениям дергать сервис или что-то такое - да, можно было бы сказать что это зависит от реализации в AOSP или что-то подобное. Но мы говорим о доступе к исходному коду и возможности редактирования абсолютно любого компонента системы. Это все равно что говорить о защите компьютера антивирусом когда пекарня физически находится в руках у злоумышленника.

micronekodesu ★★★
()

а чему ты удивляешся? гугл=большой брат, большой брат=гугл, они там с фейсбуком, амазоном, эплом и мелкософтом соревнуются в прислуживании пиндосской гэбне

BLOBster ★★★
()

Какой ужас! Ты правда нам говоришь, смарты - это шпионы!! Какой кошмар! А, стоп. Мы знаем это уже годы. С разморозкой.

targitaj ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.