LINUX.ORG.RU

Уязвимость в Android позволяет делать фотоснимки без участия пользователя

 ,


1

1

Бывший сотрудник компании Google сообщил об очередной уязвимости в мобильной операционной системе Android. Используя ее, злоумышленники могут без участия владельца смартфона, планшета или иного устройства получать снимки и отправлять их на удаленный сервер.

Инженер опубликовал видео, демонстрирующее работу уязвимости. Отмечается, что получение и отправка данных возможна даже при выключенном экране смартфона, то есть пользователь не заметит, что кто-то эксплуатирует устройство без его ведома. Злоумышленник может задать интервал, по истечении которого мобильное устройство станет получать и отправлять фото.

Как сообщает экс-сотрудник Google, пользователь, включив экран, все равно не сможет заметить вторжение, получение и отправку данных. Это не означает, что превью готового снимка не выводится на дисплей, однако оно столь мало (размером с пиксель), что зафиксировать его появление невооруженным глазом невозможно. Google может закрыть данную уязвимость, введя ограничение на минимальный размер превью фото (в существующих версиях Android его нет).

Видео

>>> Источник новости

★★★★★

Проверено: fallout4all ()
Последнее исправление: mono (всего исправлений: 3)
Ответ на: комментарий от int13h

А Вы, как брат, не можете объяснить, что этого делать не надо? Ну, максимум, деинсталлировать драйвера. Как я понимаю у сестры Windows?

Почему не надо? Это самое действенное решение. Непробиваемое, со стоимостью обслуживания в районе нуля и защищает от будущих багов тоже. И от забавных случайностей спасает: у меня лаптоп так неудачно упал было дело, не было бы заклеено — точно поцарапал бы.

anonymous
()
Ответ на: комментарий от lucky_guy

но запретить программе это право я не могу

Можешь. XPrivacy. Не благодари.

anonymous
()
Ответ на: комментарий от emulek

Самостоятельно код писать что-ли? Или ковырять сырцы на предмет наличия дыр? Или?

самому писать/проверять, доверять «тысячам глаз сообщества», или «расслабиться и получать удовольствие» - других вариантов я не вижу, причём безотносительно OS.
Собственно, в закрытых OS полностью осуществим лишь последний вариант.

Anonymous ★★★★★
()

АНБ знает что ты любишь селфи... Делает их за тебя

disee ★★★
()
Ответ на: комментарий от anonymous

Боится что что-нибудь интересное пропустит и не запечатлит.

anonymous
()
Ответ на: комментарий от MiniRoboDancer

Если он отличается от соседей по контрастности - должен.

может там дерьмо какое-то налипло? Телефон хоть и старый, но там не очень большие пиксели, и я не приглядываюсь.

emulek
()
Ответ на: комментарий от anonymous

Ничего подобного, такая лампочка есть только на ноутах производства китайской фирмы Lenovo, и она предназначена не для индикации использования вебкамеры, а для подсветки лица на тот случай если в комнате выключен свет.

лютое 4.2 у меня маленькая зелёная лампочка, которая не может ничего подсвечивать.

emulek
()
Ответ на: комментарий от Anonymous

самому писать/проверять, доверять «тысячам глаз сообщества», или «расслабиться и получать удовольствие» - других вариантов я не вижу,

на самом деле есть и другой вариант:

1. я доверяю Патрегу

2. Патрег доверяет сотне(одной) тимлидеров

3. тимлидер проверяет то, что пушат в проект.

Т.е. тут всё упирается в тимлидера, а ему проще разобраться в коде своего же проекта, и не пихать откровенную лажу и просто мутный говнокод, который теоретически _можно_ использовать как дыру. Тимлидер знает, что если он такую лажу пропустит, то он станет никому не нужен, как и его проект.

В Slackware и Debian такой подходл работает более 20и лет, и пока ещё не дал ни единого сбоя. (дыры находили, но они совсем не похожи на бекдоры. Скорее просто ошибки, которые _теоретически_ можно было-бы использовать-бы, но никто про использования не слышал)

emulek
()
Ответ на: комментарий от MiniRoboDancer

может там дерьмо какое-то налипло?

Ну так соскреби, мешает же.

нахрена скребсти, если проще выкинуть это говно?

emulek
()
Ответ на: комментарий от emulek

если проще выкинуть это говно?

Себя лучше выкинь, этажа эдак с четырнадцатого.

MiniRoboDancer ★☆
()
Ответ на: комментарий от emulek

Где можно ознакомиться со списком этой сотни тимлидеров, сроками их работы в проекте и прочими биографическими сведения.

anonymous
()
Ответ на: комментарий от anonymous

Где можно ознакомиться со списком этой сотни тимлидеров, сроками их работы в проекте и прочими биографическими сведения.

сам с ними по почте спишись. Почту можно получить так:

1. качаешь слаку

2. проверяешь gpg исходников ПО из дистра. Естественно у тебя ключей разрабов нет, потому gpg будет плакать «я не могу найти ключ». Ключ лежит на сервере ключей. Уж не знаю есть-ли там фотка(место предусмотрено, но я этой возможностью не пользуюсь), но почта есть в обязательном порядке. Ну и обычно ещё сайт.

emulek
()
Ответ на: комментарий от emulek

Какая разница? Главное, что он ответственное лицо.

anonymous
()
Ответ на: комментарий от Anonymous

Я скорее поверю в то, что те кто специально ищет в коде из этой «тысячи глаз» предпочтут заработать денег продав заинтересованным, чем в то, что они не нуждающиеся в деньгах альтруисты-филантропы, которым нечем больше заняться.

В случае с закрытыми ОС серьёзных производителей больше шансов что не сольют за деньги левым людям «с улицы», в том числе криминалу. Опять же лишают возможности охотников за наживой рыться в коде.

anonymous
()

О таких уязвимостях надо сообщать тем, кто непосредственно занимается устранением подобных, а не всему свету, чтобы всякие нехорошие люди использовали их в своих целях.

А широкую общественность информировать уже после устранения угрозы.

anonymous
()

Уязвимость в Android позволяет делать фотоснимки без участия пользователя.

Уязвимость в пользователе позволяет делать фотоснимки без участия Android.

anonymous
()

При этом обновлять прошивку многие производители как не планировали, так и не планируют.

anonymous
()
Ответ на: комментарий от anonymous

При этом обновлять прошивку многие производители как не планировали, так и не планируют.

Когда эти прошивки уже издохнут? Задолбали по каждому чиху всю ОС вместе с софтом обновлять.

anonymous
()
Ответ на: комментарий от muon

Сделать так, чтобы кто-то удаленно не мог делать фотографии? Сделать так, чтобы пользователи больше внимания уделяли разрешениям приложений?

buddhist ★★★★★
()
Ответ на: комментарий от anonymous

Asus, Toshiba, HP - везде горит. На всех встречавшихся мне моделях

Myau ★★★★
()
Ответ на: комментарий от feofil

такая шикарная уязвимость мимо меня прошла

лузирь, чо

mumpster ★★★★★
()
Ответ на: комментарий от emulek

1. я доверяю Патрегу
2. Патрег доверяет сотне(одной) тимлидеров

Патрик и его сотня тамплиеров - это тоже часть «тысяч глаз сообщества».

Anonymous ★★★★★
()
Ответ на: комментарий от feofan

Какие данные? Аудио, видео, фото? Местоположение давным-давно определяется по имею устройства.

Deleted
()
Ответ на: комментарий от emulek

Мои соседи едва ли смогут написать вирус. Да даже если бы смогли, им проблематично заразить именно мой ноутбук, даже если бы там была винда - для этого нужно либо ломануть вай фай и использовать уязвимость винды, либо подсунуть заражённую флешку. Вай фай у меня в настоящий момент нет, а с соседями я не общаюсь, чтобы они могли мне передать флешку. В общем, те, кто живут рядом, точно мне не угрожают.

Ты когда на рынке что-то покупаешь, вывешиваешь над собой плакат «у меня в левом заднем кармане кошелёк, в котором Over9000 рублей»?

Аналогия не верна. Если у меня не заклеена вебка, это не значит, что через неё кто-то сможет подсмотреть. Ближе аналогия - я не зашиваю карманы со 100500 рублями прежде, чем пойти на рынок.

Достаточно найти одного лошка из сотни.

Не из сотни, а из десятков тысяч. А вероятность пострадать 0,01% меня вполне устраивает. Вероятность, что я споткнусь и сломаю руку и то выше.

KivApple ★★★★★
()
Ответ на: комментарий от feofan

Место под фото злоумышленник где возьмет? Если владульцу, как правило, на свои не всегда место хватает? Сколько фото нужно сделать, чтобы снять что-то интересное? Как в оффлайне отсеять шлак?

Deleted
()
Последнее исправление: igor822605 (всего исправлений: 1)
Ответ на: комментарий от Deleted

Место под фото злоумышленник где возьмет?

Например, зарезервирует в виде файла-контейнера. Часто место всё-таки есть.

Как в оффлайне отсеять шлак?

Почти никак. Разве совсем уж темные фотки выкинуть.

feofan ★★★★★
()
Ответ на: комментарий от KivApple

у каждого монитора есть сверхсекретная наноспутниковая тарелка

RAGEMASTER уже есть, что мешает сделать такое же под DVI, HDMI? Программные уязвимость при желании легко решаются — просто отключи от сети компьютер, а вот с железными гораздо сложнее. Могут стоять скрытые вай-фай модули, такая хрень как RAGEMASTER.

EvilFox ★★
()
Ответ на: комментарий от user_id_68054

(а в CyanogenMod всё ещё наверно это работает — так как алгоритм свой собственный — менее глючный)

При чем тут алгоритм запрета/разрешения индивидуальных пермишенов приложению? Если приложение при обращении к камере с запрещенным пермишеном валится, то это проблема разработчика этого приложения.

andreyu ★★★★★
()
Ответ на: комментарий от KivApple

Мои соседи едва ли смогут написать вирус.

а зачем его писать? Его можно скачать.

Не из сотни, а из десятков тысяч. А вероятность пострадать 0,01% меня вполне устраивает. Вероятность, что я споткнусь и сломаю руку и то выше.

довольно странная у тебя логика.

emulek
()
Ответ на: комментарий от Myau

На ноутах всегда загорается программно не регулируемая лампочка на веб-камере при её включении. Этого сложно не заметить

Только она программно регулируемая. Как минимум, на вебке, которая у меня была лет 7 назад, я её отключал без проблем.

alt-x ★★★★★
()
Ответ на: комментарий от xtraeft

Речь шла о ситуации, при которой нет соединения.

ну можно пока соединение есть выкинуть часть юзерских данных в облако. Чужое не жалко ☺

emulek
()
Ответ на: комментарий от anonymous

О таких уязвимостях надо сообщать тем, кто непосредственно занимается устранением подобных, а не всему свету, чтобы всякие нехорошие люди использовали их в своих целях.

А широкую общественность информировать уже после устранения угрозы.

В идеальном мире - да. Но, к сожалению, есть много устройств, срок поддержки которых уже закончился. Не все выкидывают свой телефон каждые два года. Поэтому будет множество устройств, где эта угроза не будет устранена никогда.

alt-x ★★★★★
()

Уязвимость в Android позволяет отправлять письма и смс без участия пользователя.

Сотрудник компании Google сообщил об очередной уязвимости в мобильной операционной системе Android.

Используя ее, злоумышленники могут без участия владельца смартфона, планшета или иного устройства получать и отправлять сообщения электронной почты и sms.

Сообщения могут отправляться при выключеном экране.

AVL2 ★★★★★
()

Бывший сотрудник компании Google сообщил об очередной уязвимости в мобильной операционной системе Android. Используя ее, злоумышленники могут

Спасибо, друг. От лица всех злоумышленников.

anonymous
()
Ответ на: комментарий от Myau

На ноутах всегда загорается программно не регулируемая лампочка на веб-камере при её включении. Этого сложно не заметить

Ну будет на фотке удивлённая морда, а так всё то же самое :)

router ★★★★★
()
Ответ на: комментарий от Myau

ИМХО отсылать фотографии в таком количестве втихаря всё равно невозможно. Даже с паршивой 5-мегапиксельной камеры фото весит в среднем около мегабайта, 15 минут в темпе как на видео обойдутся примерно в 200МБ трафика, которые будут отчётливо видны в статистике передачи данных

Детский сад, штаны на лямках. google thumbnails

router ★★★★★
()
Ответ на: комментарий от mix_mix

Да половина приложений это требует.

Яндекс навигатор все установили? А гуглокарты, скайп, viber, и т.д., и т.п.

Может быть встроенные гуглоприложения кто-то удаляет?

З.Ы. Да, чуть не забыл, ведроидный firefox требует доступ к камере.

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от anonymous

Объясните идиоту: как отправка снимков может осуществляться при отсутствии соединения (в т.ч. физического?),

Сохранять на карту в меньшем разрешении. Отправлять по возможности

и чего тогда вообще сцать?

Ну вот некоторые ВНЕЗАПНО обнаружили, что в белом и пушистом ведроиде нашли бекдор. Удивидись почему-то

router ★★★★★
()
Ответ на: комментарий от demidrol

металлизированным скотчем

О, это мысль. Надо будет закупиться

router ★★★★★
()
Ответ на: комментарий от router

Да половина приложений это требует.
Да, чуть не забыл, ведроидный firefox требует доступ к камере.

В этом и фишка. И как следствие, все просто забивают на это, а в результате subj.

mix_mix ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.