И снова проблемы с безопасностью в Android. Приложение камеры позволяет следить за миллионами пользователей
Никогда такого не было и вот опять! Именно так хотелось бы начать эту новость, потому что речь у нас сейчас пойдет о безопасности смартфонов, наших личных данных, уязвимостях и всеми любимый Android.
Помните шутку о том, что фронтальные камеры заклеивают только параноики? Так вот, кажется, что они делают это не зря, так как в этот раз обнаружилось, что большая дыра в безопасности Android позволяет любым приложениям получать доступ к датчикам и другим функциям смартфона, включая запись звука, видео и съёмку фото. И всё это через стоковое приложение камеры в смартфоне. Причем тут не нужны разрешения от пользователя, причем даже на съёмку фото и видео. И об этом всём великолепии рассказал руководитель отдела безопасности Checkmarx, Эрез Ялон.
Эрез Ялон обнаружил серьезные уязвимости в приложениях камер от компании Google и Samsung. И чтобы третьи лица могли делать с вашей камерой всё, что им захочется, вам будет достаточно лишь дать приложениям доступ к памяти смартфона. А дать это разрешение придется, так как фотографии и видео ведь нужно куда-то сохранять, не так ли?
Для демонстрации этой дыры безопасности, Эрез разработал поддельное приложение «Погода», которое вроде бы очень скромное и запрашивает лишь доступ к памяти смартфона. По сути это приложение не является опасным и вредным, поэтому Google Play Protect не видит проблем и не обращает на него внимание. Вроде всё хорошо и спокойно. Но вот приложение это не прерывает соединение с сервером, даже если это приложение было закрыто (выключено), что позволяет хакерам отправлять различные команды на смартфон. И это даёт доступ (даже на заблокированном устройстве) к следующим функциям:
-Съёмка фото и видео с камеры смартфона и загрузка на сервер. При этом пользователь ничего не узнает, потому что щелчка затвора не будет.
-Датчик приближения позволяет узнать, разговаривает ли пользователь по телефону в данный момент, и поэтому можно записывать разговоры.
-Запись видео во время звонка.
-Полный доступ ко всем файлам на смартфоне.
-Получение геопозиции, просмотр меток с фотографий, чтобы отслеживать историю перемещений пользователя.
И вот уже к концу подходит ноябрь 2019 года, а об этой уязвимости сотрудники Checkmarx сообщили в Google и Samsung еще в июле этого года. Компания Google далеко не сразу, но всё-таки признала, что эта уязвимость охватывает огромное количество смартфонов. Причем признание было сделано во второй половине августа, то есть как минимум через месяц после того, как был отправлен запрос. А потом в самом конце августа и Samsung признался в том, что уязвимость есть.
А опубликовать эту информацию Samsung и Google позволили лишь сейчас. И по заявлениям от Google, все проблемы были исправлены уже в июле, а так же все затронутые производители тоже были уведомлены.
А теперь давайте вспомним о том, как долго у смартфонов есть техническая поддержка, а еще про сроки выхода обновлений Android не забудем. И тут выясняется довольно неприятный факт того, что сотни миллионов смартфонов до сих пор работают с вот такой огромной дырой в безопасности.
Но как же хорошо, что за абсолютным большинством пользователей просто бессмысленно следить, и никому их фотографии и данные вообще не нужны. Но с другой стороны очень неприятно осознавать, что такая дыра в безопасности появилась совсем не просто так. И почему-то кажется нам, что это просто Google оставил себе «Бэкдор», а его нашли очень непоседливые пользователи, которые хотят безопасности. Вполне вероятно, что весь этот патч безопасности заключается в том, что Google просто перепрятал этот бэкдор и сказал, что всё теперь будет хорошо.
Будем надеяться, что подобных проблем уже не будет в Android 10, так как там у приложений нет доступа ко всей памяти смартфона. Каждое приложение запускается в песочнице и может использовать только определенный объём памяти, и к другим приложениям и местам подлезть не сможет. Ну по крайней мере нам такое обещали раньше.
Помните шутку о том, что фронтальные камеры заклеивают только параноики? Так вот, кажется, что они делают это не зря, так как в этот раз обнаружилось, что большая дыра в безопасности Android позволяет любым приложениям получать доступ к датчикам и другим функциям смартфона, включая запись звука, видео и съёмку фото. И всё это через стоковое приложение камеры в смартфоне. Причем тут не нужны разрешения от пользователя, причем даже на съёмку фото и видео. И об этом всём великолепии рассказал руководитель отдела безопасности Checkmarx, Эрез Ялон.
Эрез Ялон обнаружил серьезные уязвимости в приложениях камер от компании Google и Samsung. И чтобы третьи лица могли делать с вашей камерой всё, что им захочется, вам будет достаточно лишь дать приложениям доступ к памяти смартфона. А дать это разрешение придется, так как фотографии и видео ведь нужно куда-то сохранять, не так ли?
Для демонстрации этой дыры безопасности, Эрез разработал поддельное приложение «Погода», которое вроде бы очень скромное и запрашивает лишь доступ к памяти смартфона. По сути это приложение не является опасным и вредным, поэтому Google Play Protect не видит проблем и не обращает на него внимание. Вроде всё хорошо и спокойно. Но вот приложение это не прерывает соединение с сервером, даже если это приложение было закрыто (выключено), что позволяет хакерам отправлять различные команды на смартфон. И это даёт доступ (даже на заблокированном устройстве) к следующим функциям:
-Съёмка фото и видео с камеры смартфона и загрузка на сервер. При этом пользователь ничего не узнает, потому что щелчка затвора не будет.
-Датчик приближения позволяет узнать, разговаривает ли пользователь по телефону в данный момент, и поэтому можно записывать разговоры.
-Запись видео во время звонка.
-Полный доступ ко всем файлам на смартфоне.
-Получение геопозиции, просмотр меток с фотографий, чтобы отслеживать историю перемещений пользователя.
И вот уже к концу подходит ноябрь 2019 года, а об этой уязвимости сотрудники Checkmarx сообщили в Google и Samsung еще в июле этого года. Компания Google далеко не сразу, но всё-таки признала, что эта уязвимость охватывает огромное количество смартфонов. Причем признание было сделано во второй половине августа, то есть как минимум через месяц после того, как был отправлен запрос. А потом в самом конце августа и Samsung признался в том, что уязвимость есть.
А опубликовать эту информацию Samsung и Google позволили лишь сейчас. И по заявлениям от Google, все проблемы были исправлены уже в июле, а так же все затронутые производители тоже были уведомлены.А теперь давайте вспомним о том, как долго у смартфонов есть техническая поддержка, а еще про сроки выхода обновлений Android не забудем. И тут выясняется довольно неприятный факт того, что сотни миллионов смартфонов до сих пор работают с вот такой огромной дырой в безопасности.
Но как же хорошо, что за абсолютным большинством пользователей просто бессмысленно следить, и никому их фотографии и данные вообще не нужны. Но с другой стороны очень неприятно осознавать, что такая дыра в безопасности появилась совсем не просто так. И почему-то кажется нам, что это просто Google оставил себе «Бэкдор», а его нашли очень непоседливые пользователи, которые хотят безопасности. Вполне вероятно, что весь этот патч безопасности заключается в том, что Google просто перепрятал этот бэкдор и сказал, что всё теперь будет хорошо.
Будем надеяться, что подобных проблем уже не будет в Android 10, так как там у приложений нет доступа ко всей памяти смартфона. Каждое приложение запускается в песочнице и может использовать только определенный объём памяти, и к другим приложениям и местам подлезть не сможет. Ну по крайней мере нам такое обещали раньше.
ПОХОЖИЕ НОВОСТИ
