Новини
Спінінг у руках майстра: тонкощі вибору та техніки успішної риболовлі
Підготовка до подорожі: ключові товари для комфортного туризму
Як обрати надійного хостинг-провайдера: покрокова інструкція
Отримання посвідки на проживання в Україні: юридичні нюанси та послуги компанії "Правова Допомога"
Голливудский блеск: американская косметика на службе у знаменитостей
Надійне світло в непередбачуваних ситуаціях: акумуляторні світильники для вашого дому
Lexus в сервисе: как избежать неприятных сюрпризов при ремонте
Разумная покупка: секреты выбора оптимального бензинового генератора
Чехлы для iPhone X: защита и стиль от Custom Studio
Обмін Perfect Money (USD) на гривні (UAH) із зарахуванням на картки Visa і MasterCard
Салат з оселедця
«Клюківка» наливка журавлинна

Програми під Android виявилися здатні користуватися камерою смартфона без дозволу

Навчання

Деякі стандартні команди в багатьох Android-смартфонах дозволяли додаткам запускати додаток камери і керувати ним, не запитуючи на це дозвіл користувача, з'ясували дослідники в області інформаційної безпеки з компанії Checkmarx. Компанія повідомила про це Google і Samsung ще кілька місяців тому, тому ці виробники вже встигли виправити вразливість. Стаття з описом дослідження опублікована на сайті Chechmarx.


Програми в Android можуть запитувати у системи доступ до деяких функцій через стандартні API, причому для частини функцій система просить користувача надати доступ додатку. Наприклад, якщо програма запитує доступ до камери або функцій стільникового зв'язку, система спочатку запитує дозвіл у власника.


Крім системи дозволів в Android також є підсистема для спілкування додатків між собою. Наприклад, деякі програми вказують координати місця на карті у вигляді посилання, натиснувши на яке, користувач потрапляє в стандартний додаток карт. За цим процесом стоїть запит дії через об'єкт Intent. При цьому вказівки на дії можуть бути неявними, і в такому випадку система сама вибирає додатки, що підходять під запит, а бувають очевидними із зазначенням конкретного додатка і дії.

Дослідники з компанії Checkmarx з'ясували, що стандартні програми камери в смартфонах Google і Samsung дозволяють стороннім додаткам викликати фото- або відео-зйомку, незалежно від того, чи є у такого додатку дозвіл на доступ до камери. Після того, як додаток надіслав такий запит, запускається додаток камери. У ньому можна за допомогою набору команд робити фото або відео, а також ставити таймер зйомки або вибирати, яку з камер використовувати.

Саму по собі цю вразливість складно назвати корисною, проте дослідники відзначають, що зловмисники можуть використовувати її разом з іншими можливостями системи. Наприклад, багато програм в Google Play запитують доступ до сховища, і користувачі звикли давати їх, не замислюючись про те, навіщо програмі такий доступ. Отримавши цей дозвіл, шкідливий додаток може передавати зняті фотографії на свій сервер, а якщо у користувача в налаштуваннях камери ввімкнено запис місця розташування під час зйомки, таким чином він може відстежувати перебування людини.

Крім того, дослідники показали, що роботу шкідливого додатку можна приховати, якщо він буде відстежувати стан датчика наближення і запускати зйомку тільки тоді, коли смартфон докладений до вуха під час розмови або лежить екраном на столі.

Дослідники відправили інформацію про вразливість в команду безпеки Android в Google на початку липня, після чого Google і Samsung виправили уразливості і в листопаді дозволили розкрити інформацію. Однак Google також розповіла, що сповістила інші компанії, тому, ймовірно, вразливість торкнулася і смартфонів інших виробників.

Нещодавно фахівці з Google виявили сайти, які протягом як мінімум двох років використовували невідомі критичні вразливості в iOS. Після того, як користувач заходив на сайт через браузер, на його смартфон встановлювався шкідливий додаток, що отримує права суперкористувача, і передає зловмисникам паролі, фотографії та іншу конфіденційну інформацію.


COM_SPPAGEBUILDER_NO_ITEMS_FOUND