Ужастики на ночь для владельцев ведройда

А еще андроид всегда на голос реагирует.

а висит в активных жрёт до 50% процессора и не выключается, пока вы не отпустите палец, то есть by design, телефон хватается за любую возможность выцепить скан вашего отпечатка пальца

Чтобы сделать такой вывод, нужно найти что этот отпечаток пальца сохраняется в флеш памяти или передается куда-то по сети. Но тут поработать нужно, не то что на лор набросить. А так что это за разоблачение, такое можно объяснить говнокодом, что отпечаток считывается в любом случае, даже если в памяти нет отпечатков.

Поясняю: Говнокод может быть не случаен, а намеренно и умышленно так реализован функционал считывания отпечатка, естественно в AOSP ничего никуда не отсылается(я не проверял лично), но вся эта история потворствует тем, кто пишет прошивки или делает свои версии на основе AOSP добавить этот функционал буквально несколькими строками кода в HAL, а передавать там вполне себе есть что, все отпечатки всех пальцев когда либо трогавших данный сенсор, ведь он работает всегда и независимо ни от чего.

вся эта история потворствует тем, кто пишет прошивки или делает свои версии на основе AOSP добавить этот функционал буквально несколькими строками кода

Окей, предположим гугл сделали как вы хотите и при отсутствии отпечатков в ситеме датчик больше не включается. Что помешает тем, кто делает кастомные прошивки, исправить это все обратно и читать данные с датчика 24x7?

а передавать там вполне себе есть что, все отпечатки всех пальцев когда либо трогавших данный сенсор

И в чем профит от этих данных? И пусть меня поправят если я не прав, но там данные такого плана, что полезны они будут только конкретно этому датчику, то есть в другие датчики его запихнуть не получится и фото отпечатка получить тоже не выйдет. Зачем эти данные злоумышленнику?

Увы, в современном мире приходится находить баланс между удобством и паранойей. Вы же не переживаете, например, что ваш опсос видит кому вы звоните, или что товарищ майор следит за вашими сообщениями на лоре, тут то же самое - либо вы соглашаетесь с рисками и пользуетесь, либо крутите шапочку из фольги и разблокируете паролем (которые, конечно, отправить куда-нибудь нет никакой возможности).

Ну, допустим есть отпечатки пальца какого-то ноунейма.
Как их сопоставить с какой-то личностью?

Как их сопоставить с какой-то личностью?

Сопоставлять будешь сам за свои деньги АКИТ хочет 100 рублей с каждого телефона

Не думал, что просто вся логика работы с этой кнопкой вынесена в этот сервис? В том плане, что он в этом режиме может не считывать отпечаток, а просто обрабатывать нажатие? А грузит CPU, потому что джава и индусы. Это раз. Два. Сенсоры обычно не выдают картинку, а некий хеш отпечатка. Так что данные актуальны только для этой модели сенсора. Три. Чтобы датчик адекватно работал требуется 5-10 раз коснуться одним и тем же пальцем в разных положениях при настройке сенсора. И то на бюджетках оно всё равно не идеально работает. Так что не факт, что без знания, что набор картинок принадлежит одному и тому же человеку и это один и тот же палец, вообще что-то можно получить. Четыре. Ну вот, допустим, я слил твои данные отпечатка. Что дальше с ними делать? С данными кредитки примерно понятно, а с отпечатком что? Искать тебя на улице, отжимать телефон и разблокировать копией пальца? Только вот мы уже имеем троян, может сразу добавить слив данных?

При получении заграна ты сдаешь отпечатки. При получении Шенгена ты сдаешь отпечатки. При въезде в Китай теперь тоже нужно сдавать отпечатки (в аэропорту Пекина стояла куча терминалов самообслуживания). А если ты сидишь безвылазно в России, то нафига китайцам и американцам твои отпечатки?

Да народ уже пуганный

https://www.popsci.com/how-samsung-and-htcs-fingerprint-security-was-hacked

И в чем профит от этих данных? И пусть меня поправят если я не прав, но там данные такого плана, что полезны они будут только конкретно этому датчику, то есть в другие датчики его запихнуть не получится и фото отпечатка получить тоже не выйдет. Зачем эти данные злоумышленнику?

В данном случае злоумышленнику нужны ваши отпечатки только разве что для активации банковской операции со счётом и то это из области фантастики. Ну а то что автор утверждает что Уанплас собирает и возможно отсылает данные то вполне возможно, что отсыл идёт непосредственно для спецслужб. Те в свою очередь собирают данные по каждому для досье, которое в свою очередь им понадобится только в случае заинтересованности этим человеком.

Ну, допустим есть отпечатки пальца какого-то ноунейма.
Как их сопоставить с какой-то личностью?

Номер телефона, лицо, фамилия, имя, отчество, эмэйл, голос и т.д.

При получении заграна ты сдаешь отпечатки. При получении Шенгена ты сдаешь отпечатки. При въезде в Китай теперь тоже нужно сдавать отпечатки (в аэропорту Пекина стояла куча терминалов самообслуживания). А если ты сидишь безвылазно в России, то нафига китайцам и американцам твои отпечатки?

А представь что ты напрмер русский хакер, заинтересовал амеров, у них есть твои отпечатки. Ты въехал в одну островную страну на отдых, по их запросу ты попался в аэропорту, депортация, тюрьмэ.

костяшкой ладони

ты мутант?

и уж тем более не давайте им свои отпечатки пальцев бога ради!

А кто сказал что нужно прикладывать палец? Есть и другие органы с папиллярным узором, можно их приложить.

служба может быть легко модифицирована, т.к. функционирует через Hardware Abstraction Layer

Заявлять такое без действующего эксплоита очень самонадеянно. Я уверен на 99.9%, что сутевая часть сервиса подписана и мамкеным какерам встать посередине никак не выйдет.

А то, что гугл всех имеет на пару с федералами - это ты прям Америку открыл :)

УУууууу, ну все, я в лес поехал жить, продаю всю свою носимую электронику и покупаю ствол и пару ящиков тушенки.

Не, ну какая в жопу разница берет оно мои пальцы или нет? Откуда вы лезете вообще, а? В 2019 не ясно что все личные данные тырятся при первой же возможности?

Твои отпечатки давно есть у всех заинтересованных, зачем телефону их собирать?

Номер телефона,

А это как связано с личностью?

эмэйл

А это?

фамилия, имя

А это в телефоне где найти?

У вас там говорят ещё и сим-карты по паспорту продают.

В записной книжке. А эмэйл типо не знает твоего ФИО? Более того соцсети содержащие этот же эмэйл легко показываю ФИО в телефоне, сервисах и еще где попало.

На основе социальных графов и собранных данных. Был же опыт, что после посещения 4 популярных сайтов можно с 90% вероятностью определить личные данные пользователя (и фамилию и email и все что не него есть). Разве что ты вообще кроме ЛОРа никуда не заходишь.

Через слой изоленты будет считывать?

А открыть исходники и заглянуть что именно он там делает, ты не пробовал?

касание сенсора костяшкой ладони

А-ааа!!!!1 Рептилойд в треде!

А чем лучше отдавать отпечатки в гугл или эппл?

Надо мизинец на отпечаток заводить. Чтобы, в случае чего, мизинец не жалко было бы потерять. Точнее, не так жалко. :)

ПС: сарказм, для особо одарённых.

Тогда можешь без телефона въезжать, всё равно депортация, турма.

А ты думал там хардварный выключатель ?

Окей. Сенсор выдает хеш отпечатка, но на самом деле, сенсор выдает отпечаток пальца, а контроллер сенсора уже его преобразует в определенный шифт цифро-буквенный, обратным инженерством можно его преобразовать в отпечаток снова, имея хеш-функцию и саму сумму, об этом подумай.

Что делать с моим отпечатком пальцев? Это уже отдельный вопрос, а текущий вопрос в том, что я не хочу чтобы биометрические параметры моего ТЕЛА, без особого моего согласия и уведомления были каким бы то ни было образом обработаны и считаны, это нарушение моих человеческих прав, прав личности и индивида. А на счёт usecase можно придумать массу, от оперирования спец-службами и составления наиглобальнейшей базы дактилоскопических данных, либо привязка к конкретным ДЕЛАМ на особей еще и их биометрии, знал ли ты дружок, что твой отпечаток пальца может быть воссоздан из силикона при наличии фото не очень большого разрешения? А потом например, в нужное время в нужном месте приложен к орудию какому бы то ни было? Ну, а из простого - авторизация ими же самим в их собственных банковских аакантах.

Вот это ерунда, откуда им там взяться, если у меня нету приводов, если я не сдавал их при получении визы, если я не пользуюсь подобными девайсами сканирующими отпечатки?

Причём в случае со спец-службами варианты могут быть самыми умопомрачительными с использованием этого отпечатка, ведь его можно воссоздать и отпечатать где-то в нужном месте, может быть на месте убийства, а может быть на меченых купюрах, может быть на тюбике с боевым отравляющим веществом, и это будет 100%-ая улика против человека, а он что, этот человек, он просто оказался в неудобном месте, в неудобное время, да еще и с айфоном который его отпечаток зафиксировал(вместе с 3д снимком головы и лица).

Окей, предположим гугл сделали как вы хотите и при отсутствии отпечатков в ситеме датчик больше не включается. Что помешает тем, кто делает кастомные прошивки, исправить это все обратно и читать данные с датчика 24x7?

Эти сервисы представляют из себя некую базовую фундаментальную часть самого ведройда, их конкретно никто не модифицирует, они являются неким ядром самого AOSP, на основе которого делаются уже кастомные прошивки, уже в которых ты можешь добавлять функционал по запросу через HAL к android.hardware.biometric, и если бы гугл не захотел подобной утечки отпечатков, он бы мог сделать логику работы сервиса иным образом, то есть выключая сенсор при отсутствии в системе добавленных отпечатков, но они намеренно сделали так, чтобы даже если вы не пользуетесь сенсором, стороние приложения или внутренние малвари\сервисы могли обращаться к сервису и брать оттуда нужную инфу.

Ужастики на ночь для владельцев ведройда
ведройда

КЛБ!

если я не сдавал их при получении визы, если я не пользуюсь подобными девайсами сканирующими отпечатки?

В евросоюз нужны уже год или два. Если ты из РФ не выбираешься, какая разница, кто там что в Китае знает?

и если бы гугл не захотел подобной утечки отпечатков, он бы мог сделать логику работы сервиса иным образом

Хорошо, я это уже понял, у меня был другой вопрос - "Что помешает тем, кто делает кастомные прошивки, исправить это все обратно и читать данные с датчика 24x7?"

Эти сервисы представляют из себя некую базовую фундаментальную часть самого ведройда, их конкретно никто не модифицирует, они являются неким ядром самого AOSP, на основе которого делаются уже кастомные прошивки

У меня есть все исходники проекта ("OS" в AOSP говорит об этом), значит при сборке своей прошивки я могу там делать что угодно - ядро\не ядро, без разницы. Если бы речь шла о том, чтоб запретить приложениям дергать сервис или что-то такое - да, можно было бы сказать что это зависит от реализации в AOSP или что-то подобное. Но мы говорим о доступе к исходному коду и возможности редактирования абсолютно любого компонента системы. Это все равно что говорить о защите компьютера антивирусом когда пекарня физически находится в руках у злоумышленника.

а чему ты удивляешся? гугл=большой брат, большой брат=гугл, они там с фейсбуком, амазоном, эплом и мелкософтом соревнуются в прислуживании пиндосской гэбне

Привет Боширову и Петрову

Какой ужас! Ты правда нам говоришь, смарты - это шпионы!! Какой кошмар! А, стоп. Мы знаем это уже годы. С разморозкой.