LINUX.ORG.RU

Уязвимость в Android позволяет делать фотоснимки без участия пользователя

 ,


1

1

Бывший сотрудник компании Google сообщил об очередной уязвимости в мобильной операционной системе Android. Используя ее, злоумышленники могут без участия владельца смартфона, планшета или иного устройства получать снимки и отправлять их на удаленный сервер.

Инженер опубликовал видео, демонстрирующее работу уязвимости. Отмечается, что получение и отправка данных возможна даже при выключенном экране смартфона, то есть пользователь не заметит, что кто-то эксплуатирует устройство без его ведома. Злоумышленник может задать интервал, по истечении которого мобильное устройство станет получать и отправлять фото.

Как сообщает экс-сотрудник Google, пользователь, включив экран, все равно не сможет заметить вторжение, получение и отправку данных. Это не означает, что превью готового снимка не выводится на дисплей, однако оно столь мало (размером с пиксель), что зафиксировать его появление невооруженным глазом невозможно. Google может закрыть данную уязвимость, введя ограничение на минимальный размер превью фото (в существующих версиях Android его нет).

Видео

>>> Источник новости

★★★★★

Проверено: fallout4all ()
Последнее исправление: mono (всего исправлений: 3)
Ответ на: комментарий от emulek

Самостоятельно код писать что-ли? Или ковырять сырцы на предмет наличия дыр? Или?

самому писать/проверять, доверять «тысячам глаз сообщества», или «расслабиться и получать удовольствие» - других вариантов я не вижу, причём безотносительно OS.
Собственно, в закрытых OS полностью осуществим лишь последний вариант.

Anonymous ★★★★★
()
Ответ на: комментарий от Anonymous

самому писать/проверять, доверять «тысячам глаз сообщества», или «расслабиться и получать удовольствие» - других вариантов я не вижу,

на самом деле есть и другой вариант:

1. я доверяю Патрегу

2. Патрег доверяет сотне(одной) тимлидеров

3. тимлидер проверяет то, что пушат в проект.

Т.е. тут всё упирается в тимлидера, а ему проще разобраться в коде своего же проекта, и не пихать откровенную лажу и просто мутный говнокод, который теоретически _можно_ использовать как дыру. Тимлидер знает, что если он такую лажу пропустит, то он станет никому не нужен, как и его проект.

В Slackware и Debian такой подходл работает более 20и лет, и пока ещё не дал ни единого сбоя. (дыры находили, но они совсем не похожи на бекдоры. Скорее просто ошибки, которые _теоретически_ можно было-бы использовать-бы, но никто про использования не слышал)

emulek
()
Ответ на: комментарий от emulek

Где можно ознакомиться со списком этой сотни тимлидеров, сроками их работы в проекте и прочими биографическими сведения.

anonymous
()
Ответ на: комментарий от anonymous

Где можно ознакомиться со списком этой сотни тимлидеров, сроками их работы в проекте и прочими биографическими сведения.

сам с ними по почте спишись. Почту можно получить так:

1. качаешь слаку

2. проверяешь gpg исходников ПО из дистра. Естественно у тебя ключей разрабов нет, потому gpg будет плакать «я не могу найти ключ». Ключ лежит на сервере ключей. Уж не знаю есть-ли там фотка(место предусмотрено, но я этой возможностью не пользуюсь), но почта есть в обязательном порядке. Ну и обычно ещё сайт.

emulek
()
Ответ на: комментарий от anonymous

Лучше доверяй Наделле. Он индус, а они серьёзно относятся к карме.

и как давно он делает дистрибутивы?

emulek
()
Ответ на: комментарий от emulek

Какая разница? Главное, что он ответственное лицо.

anonymous
()
Ответ на: комментарий от Anonymous

Я скорее поверю в то, что те кто специально ищет в коде из этой «тысячи глаз» предпочтут заработать денег продав заинтересованным, чем в то, что они не нуждающиеся в деньгах альтруисты-филантропы, которым нечем больше заняться.

В случае с закрытыми ОС серьёзных производителей больше шансов что не сольют за деньги левым людям «с улицы», в том числе криминалу. Опять же лишают возможности охотников за наживой рыться в коде.

anonymous
()
Ответ на: комментарий от emulek

1. я доверяю Патрегу
2. Патрег доверяет сотне(одной) тимлидеров

Патрик и его сотня тамплиеров - это тоже часть «тысяч глаз сообщества».

Anonymous ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.