iphone iOS
32

Google pokazuje jak można śledzić użytkowników systemu iOS

Google dokopało niedawno Microsoftowi (a ten się wreszcie odgryzł) i dalej szuka szczęścia w wyszukiwaniu podatności u konkurencji. Teraz padło na Apple, które w systemie iOS nie do końca zadbało o prywatność użytkowników umieszczając w systemie opcję, która pozwala aplikacjom wykorzystującym aparat na... robienie zdjęć i filmów bez ich wiedzy i zgody.

Inżynier Google – Felix Krause opisał ciekawy przypadek nieetycznego wykorzystania nadanych aplikacjom uprawnień celem działania na szkodę użytkowników. Okazuje się, że wszystkie te programy, które uzyskały zgodę na wykorzystanie aparatu fotograficznego w telefonie mogą samodzielnie robić zdjęcia oraz nagrywać filmy i błyskawicznie przesyłać je gdziekolwiek tylko zażyczy sobie deweloper. Mało tego, odbywa się to w taki sposób, że właściwie nie da się zidentyfikować momentu, w którym aplikacja zachowuje się podejrzanie. Wszystko dzieje się bez udziału lampy błyskowej, czy generowania jakichkolwiek dźwięków. Ten przypadek najlepiej opisuje film na YouTube autorstwa badacza:

I rzeczywiście, okazuje się, że odpowiednio skonstruowana aplikacja może właściwie w każdej chwili wywołać żądanie dostępu do aparatu / aparatów fotograficznych i rozpocząć tworzenie materiału. Zasadniczo, nie mamy tutaj do czynienia z typową podatnością w systemie iOS – właściwie jest to konsekwencja specyfiki przyznawania uprawnień dla określonych aplikacji. Czy Apple postanowi rozprawić się z tą niedogodnością? Miejmy nadzieję, że tak. Jak na razie, użytkownikom dbającym o swoją prywatność poleca się… zasłanianie obiektywów na czas, gdy nie są one używane. Mało praktyczne rozwiązanie, ale na pewno skuteczne.

Google coraz częściej bawi się w „strażnika bezpieczeństwa”. Apple nie jest pierwsze

Krause oczywiście o swoim odkryciu powiadomił Apple. Nie wiadomo, jaka była odpowiedź amerykańskiego producenta smartfonów, ale głęboko wierzymy w to, że owa „podatność” zostanie naprawiona. Skupmy się jednak na Google, które ostatnio bardzo lubi dokopywać swoim konkurentom – szczególnie na polu bezpieczeństwa. Jeżeli dobrze pamiętacie moje wcześniejsze teksty, Microsoft miał z Google podobny problem. Do tego stopnia wyszukiwarkowy gigant zwyczajnie wkurzał Redmond, że aż to odgryzło się znajdując podatności w przeglądarce Google Chrome. A dobrze wiadomo, że Google nie patyczkowało się z Microsoftem – gdy firma zawaliła naprawienie niebezpiecznego błędu „w terminie”, informacje o możliwym ataku pojawiły się w internecie. Google ponadto zajmowało się wcześniej antywirusami w systemie macOS, gdzie znajdowano możliwości uzyskania dostępu do komputera. Nie jest to zatem pierwszy raz, gdy Mountain View wytyka błędy swojemu konkurentowi – pytanie tylko, czy doczeka się jakiejkolwiek „odpowiedzi”. Ja natomiast mam nadzieję, że Google pójdzie po rozum do głowy i przestanie być wspomnianym w nagłówku „strażnikiem” i na poważnie zajmie się swoim podwórkiem. Zawsze jest coś do zrobienia – jak to na podwórku…

  • Emiel Rohelec

    Coz… wypadaloby zapytac kto i po co daje aplikacji uprawnienia do uzycia aparatu:)

    • terminator

      Bo działanie niektórych aplikacji nie jest możliwe bez aparatu? Przykładowo AR?

  • panmarcin

    W takim razie teraz tylko czekać, aż ktoś dokopie Google ;-)
    Najlepsze w tym wszystkim, jest jednak to, że dla użytkowników takie działania to akurat same plusy.

    • Konrad Uroda-Darłak

      „dla użytkowników takie działania to akurat same plusy” Czy aby na pewno?

    • YY

      to wyobraź sobie, że konkurencja znajduje błąd u Googla i zamiast go o nim powiadomić… publikuje go w darknecie do użytku cyberprzestępców, a ci potem piszą wirusa, który powoduje ogromne straty. Google zalicza wizerunkową wtopę, a na wszystkim cierpią użytkownicy

    • panmarcin

      Tutaj piszemy już czarne scenariusze ;-) Jeśli wszystko będzie odbywało się na zasadzie „dowalmy im oficjalnie” to raczej spoko.

    • YY

      pod warunkiem, że za sterami firm zasiadają przyzwoici ludzie

    • ofca

      Ostatnio Microsoft znalazl dwa bledy i zglosil je na legalu Google w ramach Google Vulnerability Reward Program

      To samo robi Project Zero Google’a z produktami Microsoftu. Daja im 90 dni na zalatanie luki, po 90 dniach full disclosure.

      Tavis Ormandy i Natalie Silvanovich z P0 to dwa najwieksze koszmay Microsoftu :D Jak Tavis albo Natalie puszcza tweeta, ze cos jest nie halo w jakims produkcie MS, to juz wiadomo, ze zaraz bedzie bomba i w Microsofcie maja pelne gacie.

    • YY

      ale dają te 90 dni… ja bym od razu robił atak hakerski, żeby zdyskredytować konkurencję

    • Grześko Koziołek

      Dlatego nie dostaniesz nigdy pracy w szanującej się i pracowników firmie.

    • YY

      Serio uważasz, że firmy postępują czysto i szlachetnie wobec siebie nawzajem?

  • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

    Hmm, to ma już chyba 2 tygodnie. A co do security Google to nie masz sie co martwić ;) Wolę aby szukali dziur też u innych bo co mi z bezpiecznego chrome jak przez dziurawy np windows i tak się włamią.

  • BBfanfan

    Autor odkrycia pisze ze najlepszym zabezpieczeniem są naklejki/zaślepki na obiektywy.

    Można też pójść krok dalej i wydłubać je tak jak Joanna Rutkowska ;)

    https://mobile.twitter.com/rootkovska/status/547496843291410432

    https://uploads.disquscdn.com/images/c5bd5f952941fe9af0c4ae9487f1dec6b57b47785f95dc07bfa1c0062595793b.jpg

  • YY

    zaraz się okaże że nowe wirusy na Androida zostały stworzone przez Apple :)

  • Kamienna Gęba

    Najlepsze zabezpieczenie to zabezpieczenie mechaniczne. Gdyby był tam przełącznik fizyczny do aparatu to żaden haker nie uruchomiłby go zdalnie bo to równie realne co podłączenie się komuś do kamerki internetowej na PC kiedy ta leży w szufladzie.

    • Www

      I metrowa wajcha do włączania selfika – popieram.

  • Cyr4x

    O ironio, wytyka to firma, która za pomocą Usług Google Play może w telefonach z Androidem to samo i o wiele więcej. Ile razy weszliście do sklepu Play i zobaczyliście zaktualizowany interfejs? A ile razy Android powiadomił was o instalowaniu takiej aktualizacji? No właśnie. Przyganiał kocioł garnkowi.

    • Flint_PS

      No tak, bo zaktualizowanie aplikacji w tle to to samo, co potajemne zrobienie zdjęcia i wysłanie go gdzieś.

    • Michal

      Ale jaki problem zrobić to na androidzie? Dasz aplikacji uprawnienia do korzystania z aparatu to zrobi to samo.

  • przem

    Na antku mam dodatkowo zainstalowany firewall, gdyby kiedyś aparat postanowił się łączyć z netem. Oprócz tego żadna apka nie ma uprawnień do aparatu prócz galerii.

  • Bulitl

    „Jak na razie, użytkownikom dbającym o swoją prywatność poleca się… zasłanianie obiektywów na czas, gdy nie są one używane. Mało praktyczne rozwiązanie, ale na pewno skuteczne.”

    Kto tak zaleca ? Wy jako portal czy może zaczerpnęliście opini „windosowców” do zakrywania kamer.

    Ja poleciłbym wyłaczyć wszystkim aplikacjom dostęp do kamery i dawać uprawnienie tylko w momęcie kiedy aplikacja o nie zapyta.

  • nehm

    Brak mi słów. Przecież dokładnie tak samo wygląda to na Androidzie.

    Od strony programistycznej, jak tylko użytkownik raz potwierdzi nam uprawnienia do aparatu to możemy potem robić co tylko chcemy. Nie wyświetli się żadna dioda, lampę błyskową się wyłącza z kodu z poziomu API. Wystarczy raz potwierdzone uprawnienie i potem można zdjęcia robić nawet co kilka sekund i wysyłać je na serwer.

    Nie pamiętam w tej chwili, ale na Androidzie zdjęcia mozna chyba nawet robić jak appka jest w tle (na iOS tylko jak jest uruchomiona i widoczna).

    • Michal

      Hipokryzja Google :) masz racje. Aplikacja w tle o ile ma uprawnienia może robić to samo.

  • Matt

    No musi się odgryźć skoro wszystkie wirusy lądują na androida…

  • Proste rozwiązanie dla Apple: wystarczy dać użytkownikowi możliwość udzielenia aplikacji czasowego zezwolenia na dostęp do aparatu. Na przykład na 5 minut albo do czasu ręcznego zamknięcia aplikacji.

    • ggg

      kalkulatora nie potrafia zrobic a co dopiero dawac uprawnienia iDiotom xD
      najlepsza byla „przypadkowa wtopa” z facetime xD
      owce i tak daly sie nabrac a nsa powiekszylo kolekcje danych

  • Przemix

    taka aplikacja nie przeszłaby weryfikacji do appstore. Programista sobie pomoże programować co chce, gorzej z wrzuceniem do sklepu.