Чим небезпечна ОС Android для особистих даних користувача

Чим небезпечна ОС Android для особистих даних користувача

Фахівці з кібербезпеки з компанії Checkmarx заявляють: в операційній системі Android є серйозна вразливість - при бажанні можна отримувати фотографії, відео, звукозаписи і місце розташування користувача практично будь-якого смартфона.


Android має багатий набір різних дозволів для додатків. За задумом творців, ця система обмеження доступу до функцій смартфона повинна забезпечити істотні труднощі для шкідливого ПЗ. Наприклад, без дозволу використовувати камеру - програми зловмисників не зможуть отримати з неї нову картинку, а без дозволу записувати звук - не отримають голос власника.

На практиці найпоширеніша роздільна здатність, необхідна додатками - доступ до сховища - дає зловмиснику практично необмежені можливості шпигувати за власником смартфона. Навіть не використовуючи жодної вразливості, будь-яка програма, якій дозволено читати і записувати дані на вбудовану пам'ять, може знайти і вкрасти будь-який файл. Це можуть бути конфіденційні документи, диктофонні записи або знімки, а також відео.

Вивчаючи метадані фотографій можна дізнатися місце, де був зроблений знімок (якщо запис геоданих примусово не був відключений користувачем). А якщо проаналізувати всі фото в галереї, можна побудувати карту переміщень об'єкта стеження. Часом і цього достатньо для шантажу, атаки на жертву за допомогою соціальної інженерії або ж крадіжки фінансової інформації. Однак, є вразливість, яка розширює арсенал зловмисника до неймовірних кордонів.

Співробітники компанії Checkmarx знають спосіб змусити камеру смартфона примусово робити знімки або записувати відео. Для цього необхідна певна (неназвана в цілях безпеки) послідовність дій і внутрішніх системних викликів. Все, що після цього залишається зловмиснику - завантажити отримані в результаті ролики і фотографії.

Це дозволяє додатку, що не має доступу до камери проводити повноцінне захоплення відео, звуку (у формі аудіодоріжки до відео), зображень навколишнього смартфон простору і відстежувати місце розташування жертви (як було описано вище - через геотеги фото). Для перевірки було створено абсолютно невинний вигляд програми «Погода», за допомогою якої було показано процес злому. Програма виконує всі свої основні функції - показує поточні метеорологічні відомості заданого місця.

Однак відразу після першого запуску вона встановлює фонове захищене з'єднання з віддаленим сервером зловмисника і починає чекати команди. Воно продовжує працювати і після закриття програми. Є два режими роботи: звичайний, коли камера смартфона відкривається на екрані, і потайний, в якому камера буде включатися тільки якщо смартфон лежить «обличчям вниз» або притиснутий до голови власника (під час розмови).

В результаті експерименту зі смартфона Google Pixel 2XL під управлінням версії Android 9 були отримані геодані з усіх знімків, а також фото і відео в режимі реального часу. Більш того, фахівці з кібербезпеки продемонстрували цілком реальний варіант шпигунства, коли людина розмовляє по телефону поруч з проектором, на який виводяться конфіденційні дані. У момент розмови смартфон записує відео, а після цього готовий файл зловмисник благополучно зберігає собі.

Інформація про цю вразливість була надана компанії Google, щоб та випустила виправлені версії програмного забезпечення. Але терміни появи «заплаток» досі не позначені, і вразливість працює.

Перед тим як бігти змінювати свій смартфон, на Android, прочитайте про 5 способів очищення пам'яті вашого смартфона від зайвої інформації, а ще про те, як жуйка і смартфон допоможуть кинути курити.

COM_SPPAGEBUILDER_NO_ITEMS_FOUND