LINUX.ORG.RU

Уязвимость в Android позволяет делать фотоснимки без участия пользователя

 ,


1

1

Бывший сотрудник компании Google сообщил об очередной уязвимости в мобильной операционной системе Android. Используя ее, злоумышленники могут без участия владельца смартфона, планшета или иного устройства получать снимки и отправлять их на удаленный сервер.

Инженер опубликовал видео, демонстрирующее работу уязвимости. Отмечается, что получение и отправка данных возможна даже при выключенном экране смартфона, то есть пользователь не заметит, что кто-то эксплуатирует устройство без его ведома. Злоумышленник может задать интервал, по истечении которого мобильное устройство станет получать и отправлять фото.

Как сообщает экс-сотрудник Google, пользователь, включив экран, все равно не сможет заметить вторжение, получение и отправку данных. Это не означает, что превью готового снимка не выводится на дисплей, однако оно столь мало (размером с пиксель), что зафиксировать его появление невооруженным глазом невозможно. Google может закрыть данную уязвимость, введя ограничение на минимальный размер превью фото (в существующих версиях Android его нет).

Видео

>>> Источник новости

★★★★★

Проверено: fallout4all ()
Последнее исправление: mono (всего исправлений: 3)
Ответ на: комментарий от Dendy

откроет ещё много открытий чудных, таких как захардкоженный щелчок затвора при снимке.

У меня безродный китаец не щёлкает.

router ★★★★★
()
Ответ на: комментарий от anonymous

Достаточно установить любое приложение, отбирающее эти самые права, и вдумчиво эти самые права отобрать. Например, Permission Manager, XPrivacy... тысячи их.

Закрытое приложение, требующее прав рута. Секурность так и прёт. Единственный нормальный вариант - Cyanogenmod, но он поддерживает далеко не все телефоны и планшеты

router ★★★★★
()
Ответ на: комментарий от Hertz

И до сих пор они не утомились насиловать труп. Ведроид - это нечто, нечто мертворождённое.

Пока все пишут под него ПО - он живее всех живых.

Приходится отдельно носить старый телефон в качестве телефона и ведроид в качестве ведроида

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от int13h

Заклеивать камеры черным скотчем =)

И заклеивать микрофон. Если есть бекдор для камеры, для звука есть тем более. Я лично всегда просто держу выключенной передачу данных. Только когда сам в интернете лажу, тогда включаю.

Csandriel
()
Ответ на: комментарий от Myau

Зачастую все аналоги того или иного приложения делятся на 3 категории: за нефть, за рекламу и за «разреши мне всё», т.е. потенциальные зонды.

У тебя устаревшая информация. Сейчас они делятся на 4 категории:

1) разреши всё + реклама

2) разреши всё + деньги

3) закрытые приложения с минимумом прав. # авторы вызывают уважение

4) открытые приложения с минимумом прав # авторам можно памятник ставить

router ★★★★★
()
Ответ на: комментарий от MiniRoboDancer

«Правила техники приватности при использовании современных гаджетов. Издание 245, исправленное». MiniRoboDancer, издательство O'Reilly, 2014

router ★★★★★
()
Ответ на: комментарий от KivApple

Мне очень интересно как МОНИТОР может сливать данные с помощью бэкдора

Ну включи уже мозги. Везде вайвай, часть без пароля, часть WEP. Если ты лично кому-то интересен, можно проехать на машине мимо дома.

Я не говорю, что такое используется, но твоя мысль «это невозможно в принципе» - в данном случае бред.

router ★★★★★
()
Ответ на: комментарий от KivApple

Мне одному кажется, что это дикий костыль не давать приложению прямого доступа к камере?

Да %)

router ★★★★★
()
Ответ на: комментарий от Valkeru

Google может закрыть данную уязвимость, введя возможность самостоятельно рулить разрешениями. Но на это они явно не пойдут.

Лучше всего такие проблемы гугла может решить существование альтернативной, формата и сути андроида, но только без этих фокусов. Тогда они пойдут и не на это, ради конкуренции.

Но вот вопрос: а существуют ли (предвидятся ли) альтернативы? Я за этой темой не слежу особо, не в курсе.

Конечно верно отметили, что на руку андроиду большой парк приложений. Это как раз то, что многие годы обеспечивало непотопляемость винды (но что ее уже не спасет, очевидно).

Интересно, а каковы варианты появления apk-совместимой оси, способной использовать приложения гугла? (но без фокусов) Или может cianogen и является такой осью? Есть ли у него какие-то проблемы с копирайтом, за которые он может преследоватсья в будущем? Вообще, как вопрос появления такой оси выглядит с точки зрения копирастии?

Еще раз отмечаю, темой интересуюсь только по случаю, совсем не в курсах. Извиняюсь за мутную постановку вопроса.

Csandriel
()
Ответ на: комментарий от andreyu

При чем тут алгоритм запрета/разрешения индивидуальных пермишенов приложению? Если приложение при обращении к камере с запрещенным пермишеном валится, то это проблема разработчика этого приложения.

При том, что нормальное решение - не permission denied, а разрешение доступа к фиктивным данным.

Фотку? Пожалуйста, вы ведь любите Малевича?

Контакты? Не вопрос, Иванов «Ваня» Иван Иваныч 8(123)456-7890

GPS? Легко, мы в лесах Бразилии

Сетевое соединение? Извини, мы в лесах Бразилии, коннекта нет. Как появится, свистну

router ★★★★★
()
Ответ на: комментарий от router

При том, что нормальное решение - не permission denied, а разрешение доступа к фиктивным данным.

Ну так и называйте все своими именами.

andreyu ★★★★★
()
Ответ на: комментарий от Deleted

Вот что мешало производителю поставить механический тумблер, отключающий напрочь камеру и микрофон.

Надо побольше скандалов вокруг таких дырок и этой темы вообще. Они обозначат спрос на подобные девайсы. Будет спрос будет и предложение. Это касается и железа и софта.

Csandriel
()
Ответ на: комментарий от emulek

у меня старенькая xperia x8 с 128 мб памяти и процессором в 600 мГц. Я считаю себя неуловимым Джо.

Deleted
()
Ответ на: комментарий от Csandriel

Интересно, а каковы варианты появления apk-совместимой оси

Sailfish?

Myau ★★★★
()
Ответ на: комментарий от router

Не только гаджетов. Я вообще в упор не понимаю, зачем с раздвинутыми ногами сидеть - ускорять распространение запаха и пялиться на собственные причандалы?

MiniRoboDancer ★☆
()
Ответ на: комментарий от ychuperka

А что толку от этих предупреждений, если тебе все равно нужно это приложение. К примеру, aliexpress имеет доступ к камере и много ещё чему. Вот если б был фаервол для доступа к функциям телефона.

ramon13666 ★★★
()
Ответ на: комментарий от router

У меня безродный китаец не щёлкает.

Значит ваш китаец догадался вырезать одну строчку сервиса камеры или удалить ogg-файл.

Вообще если забыть о стабильном API и совместимости между платформами, то в Андроиде сразу открываются бесконечные возможности. Можно пользоваться C++ классами камеры, создавать внеэкранный буфер для превью, который будет жить даже при выключенном экране, а выгребать данные картинки через gralloc.

Судя по видео автор возможно пошёл именно этим путём.

Dendy ★★★★★
()
Ответ на: комментарий от upcFrost

Ни разу не подключался к сети? Настройки интернета сброшены и вайфай чип сожжен? Не прикидывайся дурачком, здесь полно таких же псевдоумников.

ramon13666 ★★★
()
Ответ на: комментарий от ramon13666

Не могу даже при желании похвастать скоростью моб.инета, как на видео. Не могу похвастать батарей. Качество произвольного фото и звукозаписи туда же. Возможно распоследние гаджет все это делают на пять с плюсом.

Deleted
()
Ответ на: комментарий от Deleted

А при чем тут скорость и качество изображения? Подключись к вафле и твои данные улетят неизвестно куда. И слать видео не обязательно (да и вообще, кому оно нужно?). Меня раздражает то, что телефон может творить что угодно без моего ведома. Например, гугл любит следить за твоим перемещением. А если эта информация попадет в третьи руки? Например,злоумышленникам.

ramon13666 ★★★
()
Ответ на: комментарий от Deleted

Должна пугать тенденция тотальной слежки и контроля. А обыватели сидят на жопе и говорят: «Ну и что, что танк едет, он же в двух метрах от меня проехал. Ну и что,что соседа ограбили/убили в своей же квартире, меня ведь не тронули»

ramon13666 ★★★
()

А что интересного там можно увидеть? Конечно неприятно что какойто софт распоряжаеться трафиком и ресурсами апарата. Тем не мение Я никогда не отменял установку приложения увидив у него лишние разрешения, так или иначе если приложение работает и являеться нужным то это не критично имхо. Раньше у меня бывало такое что внезапно раздавался характерный звук фокусировки камеры, после перепрошивки на Cyanogen Mod таких глюков не обнаружилось.

AMID_EVIL
()
Ответ на: комментарий от ramon13666

Должна пугать тенденция тотальной слежки

Это пугает, но цель тех кто за нами наблюдает явно не обыватели, поэтому не стоет так переживать, а для тех кому есть что скрывать существуют приложения для контроля доступа приложений к ресурсам апарата.

AMID_EVIL
()
Ответ на: комментарий от Deleted

Не думаю,что это исправит ситуацию. Если только аппарат, к которому я сам напишу прошивку (ога, лет через 40). И то, gsm, почту и прочее можно перехватить на уровне провайдера услуги.

ramon13666 ★★★
()
Ответ на: комментарий от AMID_EVIL

Я не боюсь того,что гугл обладает некоторыми данными обо мне. Я не хочу, чтоб эти данные достались третьей стороне.

ramon13666 ★★★
()
Ответ на: комментарий от buddhist

Сделать так, чтобы кто-то удаленно не мог делать фотографии?

Почему ты отказываешь пользователю в удалённом управлении своим телефоном? Вполне можно написать прикладуху «фотай потолок не подходя к мобиле», почему бы нет?

А то, что пользователь разрешил управление не себе, а дяде — проблемы пользователя, идиоты должны страдать.

muon ★★★★
()
Ответ на: комментарий от ramon13666

Се ля ви. У лошков - смартфоны с гуглем, у штирлицев - радистки кэт с телефункенами. Каждому своё.

anonymous
()
Ответ на: комментарий от Deleted

у меня старенькая xperia x8 с 128 мб памяти и процессором в 600 мГц. Я считаю себя неуловимым Джо.

С учетом того, что заплатки на него давно перестали выпускать, совершенно напрасно.

feofan ★★★★★
()
Ответ на: комментарий от ramon13666

Вот если б был фаервол для доступа к функциям телефона.

XPrivacy?

feofan ★★★★★
()
Ответ на: комментарий от muon

Почему ты отказываешь пользователю в удалённом управлении своим телефоном?

Потому что пользователь идиот и разработчики популярного ПО — тоже идиоты.

buddhist ★★★★★
()
Ответ на: комментарий от ramon13666

уязвимость вообще-то делает снимки, а не врубает сеть. Я на телефоне интернет включаю 2-3 раза в месяц если забываю планшет. а планшет может гордо фоткать темноту сумки или собственную крышку, внезапно тоже темную, пофиг

upcFrost ★★★★★
()
Ответ на: комментарий от feofan

Заплатки выпускают редко, но выпускают. Проблема, что заплатку можно установить только на территории на которой продавались телефоны. То есть ввез телефон из-за бугра, на сайте обновления есть, на почту уведомление про обновление пришло, а телефон их не видит.

Deleted
()
Ответ на: комментарий от Deleted

Это грустно, но на твой аппарат есть вполне отлаженный цианогенмод (правда, возможно, уже не развивающийся). Ну и наверняка есть способы обхода. Хотя бы скачать и зашить вручную. Но неудобно, да.

feofan ★★★★★
()
Ответ на: комментарий от router

До лампочки на вендекапец, а вот андроидокапец - это будет событием. Жду.

Hertz ★★★★★
()
Ответ на: комментарий от emulek

Пробовал ведроид, мне стало нехорошо. У подруги Nokia, попробовал мобильную винду с её трубы. Тот же кошмар. За яблоось помолчу, не знаю. Если экстраполировать, то, похоже, что трэш там тот же. Хочется попробовать Sailfish.

Hertz ★★★★★
()

Берем все потребители интернет соединения и отключаем, если передача данных до сих пор есть, то кто то передает фотки с твоего устройства, не??? Или это так просто, или я просто не сообразаю ничего, не через GSM сети же он передает инфу на комп?

Rognar
()
Ответ на: комментарий от feofan

Нет, на это(цианоген) я поитить не могу. Деньги с телефона не пропадают, ресурсов для злых умышлеников нет. Аппарат работает стабильно на заводской прошивке. Ну если злые умышленики подключат мне быстрый инет за свой счет или будут ломать все вайвай сети в округе для своих надобностей, тогда я достану свою старенькую моторолу разор в 3 икс ай )))) Пусть они меня ломают полностью.

Deleted
()
Ответ на: комментарий от Hertz

Пробовал ведроид, мне стало нехорошо. У подруги Nokia, попробовал мобильную винду с её трубы. Тот же кошмар. За яблоось помолчу, не знаю. Если экстраполировать, то, похоже, что трэш там тот же. Хочется попробовать Sailfish.

полностью солидарен, ибо ведроид оказался полным унылости говном. Но это моё мнение, и 95% не согласны.

emulek
()
Ответ на: комментарий от Deleted

тогда я достану свою старенькую моторолу разор в 3 икс ай )))) Пусть они меня ломают полностью.

Улыбнуло =)

feofan ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.