最近不同的系統都紛紛爆出漏洞!當中有嚴重的也有較輕微的漏洞,可是今天這一個卻是十分令人震驚!有人用手機進行偷拍已經是十分可惡的行為,先前更有前 Google 的軟體工程師 Szymon Sidor 表示, Android 裝置中有一個漏洞,駭客可以利用惡意程式在使用者不知道的情況下利用手機控制鏡頭進行偷拍甚至是錄影。得到的相片甚至是影片更可以自動上載到其他伺服器而使用者毫不知情!
他表示, Android 有嘗試去防止應用程式進行未經受權的拍攝--限制應用程式在打開裝置的鏡頭時必須在螢幕上顯示預覽,確保使用者得知鏡頭正在運作!他也列出數個方法可以規避,像是是直接隱藏預覽視窗,或是讓預覽變得全透明,但這兩個方法都會被系統拒絕。
也可以用另一些物件去阻擋預覽視窗,這方法雖然可行,但使用者必會知道有非法應用正在執行!然而, Google 並沒有限制鏡頭預覽視窗的大小。換句話,駭客只需將其設定為 1x 1 像素,順其自然地在畫面上運行,使用者也不可能發現當中的一個像素產生變化!
他指出了下列幾個方法暫時避免這一個漏洞。
- 確保安裝APP時沒有過份的要求(例如安裝倒數計時卻要求使用使用者的鏡頭,就有可疑!)
- 保護好 Google Account,如果駭客可以入侵使用者的帳號,就可以遠端在使用者的裝置上安裝應用程式!定期改密碼是必要的。
- 刪除不再使用的APP,一方面減少意外發生,也可以清理一下自己裝置。
- 在設定中檢查可疑的高電量及高流量使用的App 。
- 檢查可疑的背景程式。(例如筆記APP有在背景運作的需要嗎?),刪去可疑的程式。
希望Google 快將進出更新,將問題解決!(Snacks)
本文轉載自NewMobileLife
延伸閱讀:
OpenSSL 「Heartbleed」 爆出巨大漏洞,用戶資訊、信用卡帳密全都露,該如何應對?
要拍照還是需要使用者同意拍照權限阿?
你給他拍照權限又不准他拍照這更奇怪吧
而且使用者拍照本來就不一定想要預覽阿...
強制要1pixel已經很討厭了,我倒還希望能完全不用佔據任何畫面。
很多Android開發者也都知道這個設計
至少我在1年多前寫的app就有用到這項功能了
https://play.google.com/store/apps/details?id=com.omd.silent.snap
╮(╯_╰)╭
> 看了全文,到底哪邊有漏洞?
> 要拍照還是需要使用者同意拍照權限阿?
> 你給他拍照權限又不准他拍照這更奇怪吧
Szymon Sidor 的原文在這裡:
http://snacksforyourmind.blogspot.tw/2014/05/exploring-limits-of-covert-data.html
他的意思是說,假設有一個惡意 App,這個 App 程式會在切換到背景運作時,在螢幕上嵌入一個 1x1 大小的預覽視窗,於是這個惡意 App 就可以恣意拍照,然後使用者不會收到任何形式的警示,甚至把手機螢幕關閉也無法阻止這個惡意 App 拍照。
換句話說,不管你有沒有授權 App 拍照,如果一個 App 在「無人操作」的時候還擅自自動拍照,搞不好還會自動上傳,而且使用者沒有得到任何形式的警示,這本身就是一個很嚴重的問題。
試想:如果你網路購物、對方請你用 ATM 匯款,你拿著手機一面看 Email 查帳號一面操作 ATM,而你卻不曉得你上星期剛裝的某個超神照相 App 正在背景執行,然後偷偷把你輸入 ATM 密碼的過程自動拍照、自動上傳、然後自動從相簿裡刪除...
普通app或是惡意app
都一樣,要拍照就必須要有拍照權限,這邊其實完全沒有漏洞
他的漏洞是"你同意這個軟體可以拍照,軟體就可以偷拍照。"
但這我實在不覺得這叫漏洞
再加上他後面寫的可以偷上傳
這又是要使用者同意這app可以上網,才可以偷上傳。
但使用者都同意他可以上網了....
又不允許他上傳?
這就好像你用ATM領款,但你必須輸入密碼到ATM才可以使用,讓人懷疑ATM電腦會偷取密碼,然後說這是個嚴重的漏洞,不應該讓ATM知道我的密碼。
> ※ 引述《ulyssesric》的留言:
> 都一樣,要拍照就必須要有拍照權限,這邊其實完全沒有漏洞
> 他的漏洞是"你同意這個軟體可以拍照,軟體就可以偷拍照。"
> 但這我實在不覺得這叫漏洞
你「同意」的是這個 App 在「你的監督之下」拍照,
而不是擅自作主在你不曉得的時候拍照!
同樣的,你「同意」Windows 把一個你選定的檔案扔進垃圾箱,
但是你有「同意」Windows 會自動在半夜醒來,
然後把所有桌面上的檔案全部扔進垃圾箱嗎?
Android 對於「授權拍照」的底線,
就是「使用者一定要知道 App 正在動作」,
具體方法就是限定「畫面上一定要有一個預覽視窗」才能拍照。
現在這個底線已經被破解。
換句話說,原本是 Android 系統本身「禁止」的動作,
利用某種手法,App 可以完全繞過系統本身的限制來達到目的。
這不叫漏洞,那什麼才叫漏洞?
> 再加上他後面寫的可以偷上傳
> 這又是要使用者同意這app可以上網,才可以偷上傳。
> 但使用者都同意他可以上網了....
> 又不允許他上傳?
請問上傳到「哪裡」?
你的私密照片,你當然可以授權它上傳到你自己的網路空間,
但是你有「授權」它上傳給蘋果日報嗎?
> 這就好像你用ATM領款,
> 但你必須輸入密碼到ATM才可以使用,
> 讓人懷疑ATM電腦會偷取密碼,
> 然後說這是個嚴重的漏洞,不應該讓ATM知道我的密碼。
你「授權」ATM 『在你的操作之下』領錢。
但是你「沒有」授權 ATM 執行任何『操作以外』的行為。
你今天只是要領一千元,你插入金融卡、輸入密碼、選擇領錢,
如果 ATM 在吐鈔的同時,自動「幫你」把你的錢轉給其他人,
你既沒有「同意」它執行轉帳,你也完全不曉得這件事,
你還認為這是「正常」的嗎?
你的整個邏輯就是把「授權」無限上綱。
依照你的邏輯,把你自己的發文改寫,就是這樣:
『再加上他後面寫的可以挪用公款
這又是要老闆同意這出納可以提存公司帳戶,才可以偷轉帳。
但使用者都同意他可以提存了....
又不允許他把錢轉進自己帳戶?』
如果你還認為這樣「合理」,
那請告訴我貴公司的寶號,我要去應徵出納。