Вразливий Android: як за допомогою камери смартфон стежить за користувачами
Параноїкам далі краще не читати. Фахівці з кібербезпеки з компанії Checkmarx заявляють: в операційній системі Android є серйозна вразливість - при бажанні можна отримувати фотографії, відео, звукозаписи і місце розташування користувача практично будь-якого смартфона.
Android має багатий набір різних дозволів для додатків. За задумом творців, ця система обмеження доступу до функцій смартфона повинна забезпечити істотні труднощі для шкідливого ПЗ. Наприклад, без дозволу використовувати камеру програми зловмисників не зможуть стежити за вами через основну або фронтальну камеру або отримувати з неї нову картинку, а без дозволу записувати звук - не отримають голос власника.
Як хакери стежать за нами через телефон
На практиці найпоширеніша роздільна здатність, необхідна додатками, щоб стежити за нами - доступ до сховища, який дає зловмиснику практично необмежені можливості шпигувати за власником смартфона. Навіть не використовуючи жодної вразливості, будь-яка програма, якій дозволено читати і записувати дані на вбудовану пам'ять, може знайти і вкрасти будь-який файл. Це можуть бути конфіденційні документи, диктофонні записи або знімки, а також відео.
Вивчаючи метадані фотографій можна відстежити місце, де був зроблений знімок (якщо запис геоданих примусово не був відключений користувачем). А якщо проаналізувати всі фото в галереї, можна побудувати карту переміщень об'єкта стеження. Часом цього достатньо для шантажу, атаки на жертву за допомогою соціальної інженерії або ж крадіжки фінансової інформації. Однак є вразливість, яка розширює арсенал зловмисника до неймовірних кордонів.
Хакери можуть налаштувати шкідливі програми таким чином, що вони будуть включати фронтальну або звичайну камеру на смартфоні в той момент, коли телефон лежить екраном вниз або притиснутий до обличчя під час розмови. Такий спосіб стеження через камеру називається прихованим
Чи можливо стежити за людиною через камеру смартфона
Співробітники компанії Checkmarx знають спосіб змусити фронтальну або звичайну камеру смартфона примусово робити знімки або записувати відео. Для цього необхідна певна (неназвана в цілях безпеки) послідовність дій і внутрішніх системних викликів. Все, що після цього залишається зловмиснику - завантажити отримані в результаті ролики і фотографії.
Це дозволяє додатку, що не має доступу до камери проводити повноцінне захоплення відео, звуку (у формі аудіодоріжки до відео), зображень навколишнього простору і відстежувати через смартфон місце розташування жертви (як було описано вище - через геотеги фото).
Як фахівці знайшли в телефоні вразливість
Щоб перевірити, чи дійсно хакери можуть стежити за нами через телефон, було створено абсолютно нешкідливо виглядаючий додаток «Погода», за допомогою якого був показаний процес злому. Програма виконує всі свої основні функції - показує поточні метеорологічні відомості заданого місця.
Однак відразу після першого запуску вона встановлює фонове захищене з'єднання з віддаленим сервером зловмисника і починає чекати команди. Воно продовжує працювати і після закриття програми. Є два режими роботи: звичайний, коли камера смартфона відкривається на екрані, і потайний, в якому камера буде включатися тільки якщо смартфон лежить «обличчям вниз» або притиснутий до голови власника (під час розмови).
В результаті експерименту зі смартфона Google Pixel 2XL під управлінням версії Android 9 були отримані геодані з усіх знімків, а також фото і відео в режимі реального часу. Більш того, фахівці з кібербезпеки продемонстрували цілком реальний варіант стеження, коли людина розмовляє по телефону поруч з проектором, на який виводяться конфіденційні дані. У момент розмови смартфон записує відео, а після цього готовий файл зловмисник благополучно зберігає собі.
Інформація про цю вразливість була надана компанії Google, щоб та випустила виправлені версії програмного забезпечення. Але терміни появи «заплаток» досі не позначені, і вразливість працює.
Бонус: базові правила цифрової безпеки
- Використовувати захисні рішення на всіх пристроях
- Встановлювати програми тільки з офіційних магазинів
- Уважно читати угоду користувача і не давати додатку зайві права
- Використовувати різні паролі для різних облікових записів
- Не переходити за сумнівними посиланнями
- Критично ставитися до будь-якої інформації, з якою стикаєтеся