LINUX.ORG.RU

Уязвимость в Android позволяет делать фотоснимки без участия пользователя

 ,


1

1

Бывший сотрудник компании Google сообщил об очередной уязвимости в мобильной операционной системе Android. Используя ее, злоумышленники могут без участия владельца смартфона, планшета или иного устройства получать снимки и отправлять их на удаленный сервер.

Инженер опубликовал видео, демонстрирующее работу уязвимости. Отмечается, что получение и отправка данных возможна даже при выключенном экране смартфона, то есть пользователь не заметит, что кто-то эксплуатирует устройство без его ведома. Злоумышленник может задать интервал, по истечении которого мобильное устройство станет получать и отправлять фото.

Как сообщает экс-сотрудник Google, пользователь, включив экран, все равно не сможет заметить вторжение, получение и отправку данных. Это не означает, что превью готового снимка не выводится на дисплей, однако оно столь мало (размером с пиксель), что зафиксировать его появление невооруженным глазом невозможно. Google может закрыть данную уязвимость, введя ограничение на минимальный размер превью фото (в существующих версиях Android его нет).

Видео

>>> Источник новости

★★★★★

Проверено: fallout4all ()
Последнее исправление: mono (всего исправлений: 3)
Ответ на: комментарий от WindowsXP

Нормальные люди просто не парятся

Нормальные люди просто парятся в бане с веником

anonymous
()

как знал, что мой решетофон собирает на меня фотокомпромат

MyTrooName ★★★★★
()

А прикиньте сколько порева снимут телеки со встроенными камерами!

vasya_pupkin ★★★★★
()
Ответ на: комментарий от anonymous

по контексту:

«в XXI веке не было войн» — не было боевых действий

«в XXI веке не было война» — не было солдата

«в XXI веке не был войн» — солдат не был в XXI веке

«войн покрепче сжал меч и закрылся щитом» — солдат сжал меч

ну и т д :)

user_id_68054 ★★★★★
()
Ответ на: комментарий от anonymous

предприимчивый паренёк делал фотки девушек в душе рассказав им, что у их макбуков сенсоры сбоят и их надо поместить в место где высокая влажность и много пара, то есть в душ

кросавчег! а ссылка на ориджинал стори и архивы фоток есть?

MyTrooName ★★★★★
()

И до сих пор они не утомились насиловать труп. Ведроид - это нечто, нечто мертворождённое.

Hertz ★★★★★
()
Ответ на: комментарий от anonymous

Спасибо великий анон. Вообще не заморачивался этим вопросом, но раз уж носом ткнул - попробую.

lucky_guy ★★★
()

А мне всегда андроид не нравился, костыль на костыле. Да ещё от гугла.

petyanamlt ★★★★
()
Последнее исправление: petyanamlt (всего исправлений: 1)

А если на винтовку с линуксом поставить соответствующее приложение, дать ему нужные разрешения и заглянуть в ствол, то оно сможет убивать людей без участия пользователя.

В общем, гуугол, конечно, империя зла, но конкретно данная новость эксплуатирует дыру в мозгах читателей, выражающуюся в том, что при наличии некоторых слов в заголовке тело пакета уже не анализируется и записывается в мозг минуя стадию обдумывания.

Anonymous ★★★★★
()
Ответ на: комментарий от Anonymous

Проблема в том, что эксплуатация ведрофона без «заглядывания в ствол» довольно проблематична. Зачастую все аналоги того или иного приложения делятся на 3 категории: за нефть, за рекламу и за «разреши мне всё», т.е. потенциальные зонды. Свободный софт невозможно отфильтровать средствами google play (в нём только разделение на платно/бесплатно), так что нередко приходится перебирать кучи хлама в надежде найти что-то работающее и не попадающее в эти категории

Myau ★★★★
()

Google может закрыть данную уязвимость, введя ограничение на минимальный размер превью фото

Это не закрытие уязвимости, а костыль.

zorg ★★
()

однако оно столь мало (размером с пиксель), что зафиксировать его появление невооруженным глазом невозможно

Я уже говорил, что экраны, на которых не видно пикселей - зло?

MiniRoboDancer ★☆
()
Ответ на: комментарий от zorg

Это не закрытие уязвимости, а костыль.

Это гугл-стайл, привыкайте. Сначала создаём проблему, потом самоотверженно ставим подпорку под неё и говорим, что проблема решена.

Сначала создаём монструозный интерфейс страницы поиска (состоящей фактически из поля ввода, меню и списка из 10 результатов), со свистками и переливашками, потом для каждого браузера отдаём сервером абсолютно разные страницы/наборы кук/последовательности редиректов для их установки, чтобы оно хоть как-то работало.

Сначала создаём возможность в интерфейсе почты распаковать зип архив одной кнопкой, дабы не утруждать пользователя пониманием происходящего, потом запрещаем пересылать зашифрованные архивы.

Сначал создаём возможность снимать, без необходимости пользователю двигать пальцами и производить какие-то действия, потом превью делаем побольше, чтобы пользователь якобы видел, что происходит.

pv4 ★★
()
Ответ на: комментарий от Myau

Так а кто заставляет на полное разрешение фоткать? Можно хоть 320x240 с 41 МП сфоткать, всё упирается лишь в софт.

MiniRoboDancer ★☆
()

Вот что мешало производителю поставить механический тумблер, отключающий напрочь камеру и микрофон. Это бы значительно повысило доверие пользователей.

Deleted
()
Ответ на: комментарий от emulek

а они деинсталлируются, да? В сказки верите?

Ну для обычного софта вебка точно становится недоступной, это можно проверить опытным путём. Или ты подразумеваешь закладку от MS? В таком случае спешу тебя расстроить - никому из MS нафиг не нужно смотреть через вебку на твою сестру. Нет вокруг столько извращенцев, сколько рисует твоя фантазия. А для тех что есть, есть масса сайтов, где люди добровольно позируют на вебку. Ты только подумай сколько пользователей у винды. Нецелевая атака более чем бессмысленна.

Ну и да, драйвере в винде отлично слетают даже сами по себе. Если бы там был такой чудо-механизм восстановления драйверов, то не было бы столько матюков. А то достаточно изменить один ключик в реестре, чтобы последствия были от вырубания вебки до краха системы. Слишком операционные системы нежные, чтобы надеяться на такую стойкость.

Так что тебе нужно лечиться, а не распространять свою паранойю на родственников.

KivApple ★★★★★
()
Ответ на: комментарий от anonymous

Или ты думаеш ПОЧЕМУ вслед за мобилками камеры стали пихать во все мониторы?Там в прошивке бекдор(точнее спроектировано с бекдором,и позиционируется как технологическое решение),и никто этого не скрывает.

Мне очень интересно как МОНИТОР может сливать данные с помощью бэкдора. Или у каждого монитора есть сверхсекретная наноспутниковая тарелка? В этом то и плюс специальности инженера, что я могу смотреть как на идитов на всех людей вроде тебя.

KivApple ★★★★★
()

Мне одному кажется, что это дикий костыль не давать приложению прямого доступа к камере? Жду телефоны на Linux, где приложение будет открывать камеру как /dev/videoN, а не через убогий интерфейс от гугла.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

Мне очень интересно как МОНИТОР может сливать данные с помощью бэкдора.

Во первых, сейчас все мониторы/tv идут уже с сетью, причем и с ethernet и wifi. Для работы miracast/widi и для обновления прошивок. Ты даже можешь не подключать его к сети - оно само найдет и подключится.

А во вторых, в мониторах есть обратная связь с компом. Так что троян/драйвер в компе вполне может сливать фотки, анализировать их и вперед, в анб.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Ну SmartTV я видел, но вот все известные мне мониторы (в том числе современные, во всяком случае если речь идёт о бюджетном сегменте) являются тупой показывалкой изображения, которое пришло по кабелю. И мне совершенно непонятно зачем нужно что-то ещё, ведь все остальные функции может выполнять компьютер (это телевизор должен быть самодостаточен).

Так что троян/драйвер в компе вполне может сливать фотки, анализировать их и вперед, в анб.

А если у меня стоит Linux?

KivApple ★★★★★
()
Ответ на: комментарий от Myau

Свободный софт невозможно отфильтровать средствами google play

https://f-droid.org/ во все поля.

а в остальном - всё это верно, но фактическая часть заявления конкретно этого бывшего сотрудника нулевая.
Программы с доступом к камере могут снимать, а программы с доступом к микрофону могут подслушивать разговоры - совершенно не надо быть бывшим сотрудником гуугла чтобы раскрыть эту страшную правду. Тут скорее интересно, кто и зачем его распиарил.

Anonymous ★★★★★
()
Ответ на: комментарий от KivApple

являются тупой показывалкой изображения,

Все мониторы уже сто лет имеют обратную связь.

Как только в мониторе появится датчик света или камера - появится источник данных.

А если у меня стоит Linux?

Во первых, это означает, что ты несчастный маргинал, которого следует отлучить от всех благ цивилизации в виде дрмного контента.

А во вторых, с продвижением soc в каждом периферийном устройстве, всем будет пофиг, какая там у тебя ось. Камеры, мониторы, даже sd-карточки сами будут соединяться с близлежащими устройствами и сетями мобильных операторов, образуя сеть сбора и передачи данных.

AVL2 ★★★★★
()
Ответ на: комментарий от buddhist

эээ... а какое ещё может быть решение, кроме как в обязателном порядке уведомлять о работе камеры?

muon ★★★★
()
Ответ на: комментарий от Hertz

И до сих пор они не утомились насиловать труп. Ведроид - это нечто, нечто мертворождённое.

народ хавает и просит ещё. Я тоже купил детям. Планирую ещё и себе купить.

emulek
()
Ответ на: комментарий от Anonymous

В общем, гуугол, конечно, империя зла, но конкретно данная новость эксплуатирует дыру в мозгах читателей, выражающуюся в том, что при наличии некоторых слов в заголовке тело пакета уже не анализируется и записывается в мозг минуя стадию обдумывания.

ну хорошо. Давай подумаем, как нам юзать фейсбук на ведроиде? Самостоятельно код писать что-ли? Или ковырять сырцы на предмет наличия дыр? Или?

emulek
()
Ответ на: комментарий от zorg

Это не закрытие уязвимости, а костыль.

тут перед тобой Over9000 человек это заметили.

emulek
()
Ответ на: комментарий от UNiTE

Позор.

это ты наверное хотел сказать руководству гугла? Я думаю, им пофиг до твоего экспертного мнения: на другой чаше весов сотни нефти которую уже заплатили хомячки за ведроиды + тысячи нефти, которые они получат от продажи личных данных этих хомячков.

emulek
()
Ответ на: комментарий от MiniRoboDancer

Я уже говорил, что экраны, на которых не видно пикселей - зло?

у меня есть старый телефон на котором видны пиксели. Думаешь, что если там появится пиксель в углу, я это замечу?

emulek
()
Ответ на: комментарий от MiniRoboDancer

Кого интересуют твои голые колени? А если сидишь на толчке с раздвинутыми ногами - ССЗБ.

о как! Значит перед подтиранием жопы я должен вынуть аккумулятор из телефона, да?

emulek
()
Ответ на: комментарий от Legioner

А я передние камеры всегда черным маркером замазываю, так что я в безопасности.

Deliverance ★★
()
Ответ на: комментарий от Deleted

Вот что мешало производителю поставить механический тумблер

ЦЕНА. Это тебе не телевизор «радуга», в котором тумблер за 30 копеек. Тут тумблер будет стоить весьма дорого, и всё равно будет западать/залипать, что приведёт к куче возвратов.

Это бы значительно повысило доверие пользователей.

и затруднило-бы доступ гугла к личной информации.

emulek
()

Google может закрыть данную уязвимость костылем в виде ограничения на минимальный размер превью фото (в существующих версиях Android его нет).

Fxd.

rainbow881
()

Это не смешно. Вот возьму и поставлю OpenBSD на смартфон. Пофиг что получу кирпич, зато свободный человек!

rainbow881
()
Ответ на: комментарий от KivApple

Ну для обычного софта вебка точно становится недоступной, это можно проверить опытным путём. Или ты подразумеваешь закладку от MS?

почему именно от MS? Какое-то вредоносное приложение легко может получить доступ, например поставив свой драйвер. Ну и ты разве не в курсе, что после деинсталляции программ в венде остаётся куча мусора? А как ты думапешь, что такое этот «мусор»? Сам драйвер имеет ничтожный размер. Кстати, это всего лишь прокладка между оригинальным интерфейсом девайса и стандартным интерфейсом венды. Всё остальное — действительно мусор непонятного назначения.

Ну а то, что приложениям недоступна камера, дык это просто потому, что прокладку вынули и рядом бросили. Или даже вообще заткнули напрочь пробкой.

В таком случае спешу тебя расстроить - никому из MS нафиг не нужно смотреть через вебку на твою сестру. Нет вокруг столько извращенцев, сколько рисует твоя фантазия. А для тех что есть, есть масса сайтов, где люди добровольно позируют на вебку. Ты только подумай сколько пользователей у винды. Нецелевая атака более чем бессмысленна.

мне пофиг, у меня нет сестры. Дело не в этом. Я не мысы боюсь, а слишком любопытных соседей. Которые узнают, что я прячу ключ от квартиры под коврик. И уезжаю завтра в отпуск на месяц. А через месяц — хорошо, если стены останутся.

Ну и да, драйвере в винде отлично слетают даже сами по себе.

вот именно. Поэтому я не обращу никакого внимание на взлом моей системы — она и так регулярно глючит. Это не Slackware Linux, где каждый глюк обусловлен исключительно моим рукожопием, которое легко лечится.

Если бы там был такой чудо-механизм восстановления драйверов, то не было бы столько матюков. А то достаточно изменить один ключик в реестре, чтобы последствия были от вырубания вебки до краха системы. Слишком операционные системы нежные, чтобы надеяться на такую стойкость.

злоумышленнику не нужно 146% попаданий. Достаточно найти одного лошка из сотни. Окучить 95% идиотов невозможно. А мне не хочется стать этим лошком.

Так что тебе нужно лечиться, а не распространять свою паранойю на родственников.

мне не нужно. У меня всё в порядке. Проблемы у тебя. Ты когда на рынке что-то покупаешь, вывешиваешь над собой плакат «у меня в левом заднем кармане кошелёк, в котором Over9000 рублей»? Нет? А почему? Тебе есть что скрывать? Ты украл эти деньги? Нет, честно заработал? А почему скрываешь тогда?

emulek
()
Ответ на: комментарий от KivApple

Мне очень интересно как МОНИТОР может сливать данные с помощью бэкдора.

ну сам монитор конечно не может. Но он может включить камеру «забыв» включить лампочку. А вредоносное ПО в компьютере уже всё сольёт через самый обычный интернет, ИЧСХ за твои деньги.

В этом то и плюс специальности инженера

...в том, что можно себя успокаивать, наивно думая, что ты умнее других.

emulek
()
Ответ на: комментарий от KivApple

Ну SmartTV я видел

пока не готов. Вот в моём тоже есть интернет. Только единственное, что оно умеет — залезть на свой сайт и сказать «новых прошивок нет». Эта собака даже не умеет через cifs к компьютеру подключаться и файлы показывать, только с флешки.

А если у меня стоит Linux?

значит ты из 1% задротов и нищебродов, у которых нет бабла даже на ОС (:

Грабить нищих воровской кодекс чести не позволяет.

emulek
()
Ответ на: комментарий от emulek

Перед подтиранием жопы телефон нужно куда-то положить или хотя бы в карман засунуть, а то стоять у открытого унитаза с телефоном в руках - лютое ССЗБ.

MiniRoboDancer ★☆
()
Ответ на: комментарий от Myau

На ноутах всегда загорается программно не регулируемая лампочка на веб-камере при её включении. Этого сложно не заметить

Ничего подобного, такая лампочка есть только на ноутах производства китайской фирмы Lenovo, и она предназначена не для индикации использования вебкамеры, а для подсветки лица на тот случай если в комнате выключен свет.

У меня, кстати, она почему то каждый раз загорается на пару секунд при включении ноута.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.