Elektronika.lt
 2024 m. lapkričio 30 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 - Elektronika, technika
 - Kompiuterija
 - Telekomunikacijos
 - Įvykiai, visuomenė
 - Pažintiniai, įdomybės
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Lapkričio 30 d. 11:38
Trys patarimai, kaip per išpardavimus, didžiąsias šventes apsisaugoti nuo finansinių sukčių
Lapkričio 29 d. 17:47
KTU mokslininkai sukūrė dirbtinio intelekto įrankį depresijos diagnostikai
Lapkričio 29 d. 14:22
Išmanieji telefonai: kaip išsirinkti telefoną, turintį kokybišką ekraną?
Lapkričio 29 d. 11:19
Pajėgiausio prabangaus elektrinio visureigio belaukiant: „Range Rover Electric“ prototipai testuojami ypač karštame ore
Lapkričio 29 d. 08:27
Dirbtinis intelektas kūryboje: partneris ar konkurentas?
Lapkričio 28 d. 20:29
Finansiniai sukčiai metų pabaigoje itin aktyvūs: pateikė patarimus, kaip atpažinti apgaules ir neprarasti pinigų
Lapkričio 28 d. 17:23
Autorių teisių pokyčiai: kas turėtų gauti atlygį už dirbtinio intelekto sugeneruotą paveikslėlį? (1)
Lapkričio 28 d. 14:39
Nuo triukšmo gelbėjatės ausinukais? Vaistininkė – apie tinkamą jų naudojimą
Lapkričio 28 d. 11:23
Nuo idėjos iki grąžos: ko reikia, kad DI sprendimai atsipirktų?
Lapkričio 28 d. 08:27
Vagys savo aukas gali surasti pasitelkiant „Google“ žemėlapių programėlę, tačiau jūs galite užkirsti jiems kelią
FS25 Tractors
Farming Simulator 25 Mods, FS25 Maps, FS25 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
FS22 Tractors
Farming Simulator 22 Mods, FS22 Maps, FS25 Mods
VAT calculator
VAT number check, What is VAT, How much is VAT
LEGO
Mänguköök, mudelautod, nukuvanker
Thermal monocular
Thermal vision camera,
Night vision ar scope,
Night vision spotting scope
FS25 Mods
FS25 Harvesters, FS25 Tractors Mods, FS25 Maps Mods
Dantų protezavimas
All on 4 implantai,
Endodontija mikroskopu,
Dantų implantacija
FS25 Mods
FS25 Maps, FS25 Cheats, FS25 Install Mods
GTA 6 Weapons
GTA 6 Characters, GTA 6 Map, GTA 6 Vehicles
FS25 Mods
Farming Simulator 25 Mods,
FS25 Maps
Reklama
 Straipsniai » Ryšio technologijos Dalintis | Spausdinti

„Google“ patvirtino saugumo spragą: klausosi pokalbių, filmuoja ir seka

Publikuota: 2019-11-25 16:13
Tematika: Ryšio technologijos
Skirta: Mėgėjams
Aut. teisės: ©Delfi.lt
Inf. šaltinis: Delfi.lt

„Checkmarx“ saugumo tyrimų komanda atrado saugumo spragas, keliančias pavojų „Google“ ir „Samsung“ išmaniųjų telefonų saugumui ir galinčias paveikti šimtus milijonų operacinės sistemos „Android“ naudotojų. Ką gi aptiko tyrėjų komanda?

 Rodyti komentarus (1)
Įvertinimas:  1 2 3 4 5 

„Checkmarx“ saugumo tyrimų komanda atrado saugumo spragas, keliančias pavojų „Google“ ir „Samsung“ išmaniųjų telefonų saugumui ir galinčias paveikti šimtus milijonų operacinės sistemos „Android“ naudotojų, rašo forbes.com. Ką gi aptiko tyrėjų komanda? Pasirodo, programišiai gali užvaldyti išmaniojo telefono kamerą valdančias programėles ir nuotoliniu būdu fotografuoti, filmuoti, slapta klausytis jūsų pokalbių juos įrašydami, nustatyti jūsų buvimo vietą ir t. t. Visi šie neteisėti veiksmai būtų tyliai atliekami fone, ir naudotojas ničnieko neįtartų.

„Google“ patvirtino saugumo spragą: klausosi pokalbių, filmuoja ir seka
Asociatyvi nuotr.

„Google“ ir „Samsung“ kameros programėlių saugumo spragos

„Checkmarx“ saugumo komandai pradėjus analizuoti programėlę „Google Camera“, įdiegtą išmaniuosiuose telefonuose „Pixel 2XL“ ir „Pixel 3“, buvo rastos kelios saugumo spragos. Jos yra susijusios su trūkumais, leidžiančiais programišiams apeiti naudotojo teises. „Mūsų komanda rado būdą manipuliuoti tam tikrais veiksmais ir ketinimais, – sakė „Checkmarx“ saugumo tyrimų vadovas Erezas Yalonas. – Bet kuri programėlė gali valdyti „Google Camera“ net neturėdama konkrečių teisių.“ Atsižvelgiant į „Google“ ir „Samsung“ išmaniųjų telefonų populiarumą bei skaičių, šios saugumo spragos kelia rimtą pavojų šimtams milijonų naudotojų.

Dėl minėtųjų saugumo spragų kenkėjiška programėle galima nuotoliniu būdu perimti kameros ir mikrofono duomenų srautą bei GPS vietos informaciją. Tokių veiksmų padariniai yra pakankamai rimti, nes „Android“ skirtos atvirosios programinės įrangos projekto (angl. „Android Open Source Project“) dalyviai specialiai sukūrė keletą teisių, kurių naudotojo turi paprašyti bet kuri programėlė, norinti gauti prieigą prie telefono kameros ir vietos informacijos.

„Checkmarx“ komanda parengė kibernetinės atakos scenarijų, paremtą programėlės „Google Camera“ naudojimu kai kurioms teisėms apeiti. Tyrėjai sukūrė kenkimo programėlę, išnaudojančią vieną dažniausiai prašomų teisių – gauti prieigą prie duomenų kaupiklio. „Išmaniajame telefone su „Android“ operacine sistema veikianti kenkimo programėlė, kuri turi teisę nuskaityti SD kortelę, gauna prieigą ne tik prie anksčiau padarytų nuotraukų ir vaizdo įrašų – naudojant naująją metodologiją, galima fotografuoti ir filmuoti“, – pasakojo E. Yalonas.

Kaip programišiai galėtų pasinaudoti šiomis programėlės „Google Camera“ saugumo spragomis?

„Checkmarx“ sukūrė saugumo spragą išnaudojančią koncepcinę priemonę – orų prognozių programėlę, kurios įvairiausios atmainos be galo populiarios „Google Play Store“. Programėlė neprašo suteikti jokių specialių teisių, išskyrus prieigą prie duomenų kaupiklio. Kadangi ši teisė yra įprasta visoms programėlėms, naudotojams nekiltų jokių įtarimų, juk programėlė neprašo nieko keisto. Visgi „Checkmarx“ kūrinys nėra toks nekaltas, kaip gali pasirodyti iš pirmo žvilgsnio.

Jį sudaro dvi dalys: kliento programėlė, veikianti išmaniajame telefone, bei komandų ir valdymo serveris, prie kurio programėlė prisijungia, kai programišiai nusprendžia imtis piktų kėslų. Įdiegus ir atvėrus programėlę, sukuriamas nuolatinis ryšys su komandų ir valdymo serveriu, o tada programėlė laukia nurodymų. Užvėrus programėlę, ryšys nenutraukiamas. Kokias komandas gali siųsti programišiai ir kokius veiksmus atlikti?

  • Padaryti nuotrauką išmaniojo telefono kamera ir nusiųsti ją į komandų ir valdymo serverį.
  • Filmuoti išmaniojo telefono kamera ir nusiųsti vaizdo įrašą į komandų ir valdymo serverį.
  • Palaukti, kol bus pradėtas pokalbis, stebint išmaniojo telefono artumo jutiklį (taip galima nustatyti, kada telefonas pridedamas prie ausies), ir įrašyti pokalbį.
  • Slapta klausomų pokalbių metu programišiai taip pat galėtų vienu metu įrašinėti garsą ir filmuoti naudotoją.
  • Užvaldyti visų padarytų nuotraukų GPS žymes ir jas naudoti telefono savininko buvimo vietai nustatyti.
  • Gauti prieigą ir kopijuoti kaupiklyje saugomas nuotraukas ir vaizdo medžiagą, taip pat atakos metu padarytas nuotraukas.
  • Veikti nepastebimai, sumažinus išmaniojo telefono garsą, kai fotografuojama ir filmuojama, kad kameros skleidžiami garsai neatkreiptų naudotojo dėmesio.
  • Fotografuoti ir filmuoti galima neatsižvelgiant į tai, ar išmanusis telefonas yra užrakintas, ar atrakintas.

Programėlės „Google Camera“ saugumo spragų atskleidimo eiga

Informacijos apie aptiktas saugumo spragas atskleidimas buvo suderintas su „Google“ ir „Samsung“, siekiant užtikrinti, kad abi įmonės spėtų išleisti pataisas saugumo spragoms užkamšyti. Vis dėlto neoficialiai informacija apie saugumo spragas pradėjo sklisti liepos 4 d., kai „Checkmarx“ pateikė pažeidžiamumo ataskaitą „Google“ komandai, atsakingai už „Android“ saugumą. Liepos 13 d. nurodytas saugumo spragas „Google“ įvertino kaip vidutinio grėsmės lygio, tačiau, gavus daugiau informacijos iš „Checkmarx“, liepos 23 d. grėsmės lygis buvo pakeistas į aukštą. Rugpjūčio 1 d. „Google“ patvirtino, kad saugumo spragos paveikia platesnę „Android“ naudotojų dalį, įskaitant kitų gamintojų išmaniųjų telefonų turėtojus, o minėtosios saugumo spragos gavo savo įrašą duomenų bazėje (CVE-2019-2234). Rugpjūčio 18 d. buvo susisiekta su keliais prekiautojais išmaniaisiais telefonais, o rugpjūčio 29 d. „Samsung“ patvirtino, jog naujosios saugumo spragos kelia pavojų jų prietaisams.

Ką apie kameros programėlės saugumo spragas sako „Google“?

Įmonės atstovas spaudai pareiškė: „Dėkojame „Checkmarx“, kad mus informavo apie pažeidžiamumus bei bendradarbiavo su „Google“ ir „Android“ partneriais koordinuodami informacijos apie saugumo spragas atskleidimą. 2019 m. liepos mėnesį „Play Store“ atsirado atnaujinta „Google Camera“ versija, taip pat visi partneriai gali atsisiųsti pataisą.“

„Samsung“ kol kas nepateikė informacijos apie saugumo spragas. Būtina pabrėžti, jog duomenys apie pažeidžiamumus buvo paviešinti tik po to, kai „Google“ ir „Samsung“ išsprendė šią problemą. Taigi, jei turite naujausią savo kameros programėlės versiją, esate apsaugoti nuo pirmiau aprašytos atakos.

Tiesa, dėl viso pikto patariame atnaujinti „Android“ versiją ir įdiegti naujausias saugumo pataisas. Žinoma, taip pat įsitikinkite, kad kameros programėlės versija irgi yra naujausia.

Pritrenkianti saugumo eksperto nuomonė

Ianas Thorntonas-Trumpas, kibernetinių grėsmių ekspertas ir „CompTIA“ (Kompiuterinių technologijų pramonės asociacija) narys, buvo paprašytas įvertinti šių saugumo spragų rimtumą ir vaidmenį platesniame išmaniųjų telefonų saugumo kontekste. „Man atvipo žandikaulis, kai perskaičiau ataskaitą ir supratau, kokia pažeidžiama yra kameros programėlė, – sakė jis. – Problema net nepriminė įprasto pažeidžiamumo, o buvo labiau panaši į pažangią nuolatinę grėsmę, turinčią išsamią šnipinėjimo programą.“ I. Thorntonas-Trumpas pastebėjo, kad jeigu šias spragas būtų aptikę ne tokie sąžiningi žmonės, jie lengvai galėjo paversti savo atradimą šimtais tūkstančių dolerių. „Šiandien visi yra saugesni dėl nuostabių ir sąžiningų „Checkmarx“ tyrėjų veiksmų“, – teigė jis.

Kaip ir daugelis iš mūsų, kibernetinių grėsmių ekspertas džiaugiasi, kad „Google“ greitai sukūrė ir išleido pataisą, tačiau taip pat mano, jog, atsižvelgiant į saugumo spragų rimtumą ir poveikio platumą, „atėjo metas „Google“ panaudoti bent dalį saugumo analitikų komandos „Project Zero“ galimybių ir nuodugniai išnagrinėti visą „Android“ operacinę sistemą“.

Be jokios abejonės, didelis atskleistų „Android“ saugumo spragų skaičius kenkia prekių ženklui. Neseniai išaiškėjusi „baltojo mirties ekrano“ problema taip pat nepadėjo sutvirtinti operacinės sistemos reputacijos. „Google“ reikia įdėti daugiau pastangų ir užtikrinti naudotojus, kad „Android“ yra saugi ir apsaugo jų konfidencialumą. O kol kas I. Thorntonas-Trumpas siūlo visiems, telefone turintiems svarbių duomenų, nedelsiant atnaujinti programinę įrangą. „Jeigu negalite atnaujinti prietaiso programinės įrangos, nes jis yra per senas arba gamintojas nesuteikia tokių galimybių, laikas įsigyti naują prietaisą“, – primygtinai rekomenduoja ekspertas.


Delfi.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

Electronic component supply – „Eurodis Electronics“

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Full feature custom PCB prototype service

GENERAL FINANCING BANKAS

Mokslo festivalis „Erdvėlaivis Žemė

LTV.LT - lietuviškų tinklalapių vitrina

„Konstanta 42“

Technologijos.lt

Buitinė technika ir elektronika internetu žemos kainos – Zuza.lt

www.esaugumas.lt – apsaugok savo kompiuterį!

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

Draugiškas internetas


Reklama
‡ 1999–2024 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Script hook v, Openiv, Menyoo
gta5mod.net
FS25 Mods, FS25 Tractors, FS25 Maps
fs25mods.lt
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Reklamos paslaugos
SEO sprendimai

www.addad.lt
Elektroninių parduotuvių optimizavimas „Google“ paieškos sistemai
www.seospiders.lt
FS22 mods, Farming simulator 22 mods,
FS22 maps

fs22.com
Reklama


Reklama