Уязвимость в Android позволяет делать фотоснимки без участия пользователя

Ну гугл в чём-то прав! Например вдруг они тебе сами «из коробки» поставит приложение с правами на камеру и с бэкдором внутри? :-) или например если самсунг это сделает. :-)

По всему миру участились случаи суицида параноиков

упоролся? У параноиков нет гуглозонда. А камера с корнем вырвана отовсюду. На край чёрной изолентой заклеена.

Это позорное пятно никогда не отмыть. Андроид пал в моих глазах навеки вечные.

а мне кажется это win. Сколько лет удавалось скрывать от хомячков!

С учётом того, что «на горшке» я всегда с телефоном в руках, то теоретически может получиться неприятный казус.

хм... А мне пофиг.

Ну чё ёпту, кто хохотал над парнями заклеивающими камеру?

А Вы, как брат, не можете объяснить, что этого делать не надо?

как брат? Как раз надо.

Ну, максимум, деинсталлировать драйвера. Как я понимаю у сестры Windows?

а они деинсталлируются, да? В сказки верите?

закрыть данную уязвимость, введя ограничение на минимальный размер превью фото

Даже не знаю, что более эпично, сабжевое решето или этот костыль

разве что для вендусятников.

...и примкнувших к ним линуксоидов любителей скайпа...

Под линуксом эти светодиодики зачастую не горят.

4.2, у меня горят. И походу лампочка никак не зависит о ПО, видать питание камеры отключается для экономии батарейки.

15 минут в темпе как на видео

а зачем такой темп нужен? Да ещё и постоянно.

это возможно и в той же Gentoo или Fedora (подставьте свой дистриб) сделать. это не уязвимость.

ок, Slackware Linux, сейчас сижу перед нетбуком. Тебе что ещё для взлома надо? Может IP дать?

Во-первых, никто такую портянку, как и лицензионное соглашение, читать не будет

конечно. Мне хватило первой строки что-бы пронять, что это говно только мудаки юзают.

Во-вторых, каждое второе разрешение подходит для создания потенциального бэкдора, но мало ли для чего оно на деле там нужно.

для того и нужно.

Проблема исключительно в кривой системе пермишенов андроида

при чём тут система? Зачем фейсбуку ЭТО всё надо:

Directly call phone numbers
Record audio
Read call log
Write call log
Download files without notification
Retrieve running apps
Draw over other apps
Prevent phone from sleeping
Turn sync on and off
Install shortcuts
Send sticky broadcast

Уж брали бы пример с мерзкой iOS, если самим ума не хватает сделать по-человечески.

а там программа молча по всему списку разрешённая, да?

То есть чтобы писать приложения под ведроид, мне нужно стать как минимум фейсбуком? Ну ОК.

Нет. Но если ты ставишь приложение, которое требует доступ к камере и к интернету, то логично, что оное приложение может фоткать?

Кстати, у меня андройд спрашивает, хочу ли я дать доступ приложению к камере или нет. Можно каждый раз спрашивать, можно запомнить выбор.

Еще раз и по слогам. У одних камер горят, у других - нет.

fallout4all , шкворца дадите за новость?

Как сообщает экс-сотрудник Кокакола, в некоторых продуктах этой компании содержится монооксид дигидрогена...

позволяет делать фотоснимки без участия пользователя
делать это может только установленое приложение с правом делать фотографии и снимать видео

Где баг, лол? Функциональность вполне себе соответствует описанию.

Заклеивать камеры черным скотчем =)

Высверливать.

Объясните идиоту: как отправка снимков может осуществляться при отсутствии соединения

1. фоткаешь и сохраняешь

2. когда будет связь — отправляешь

потом Google отменил такую возможность — в связи с тем что программы глючать начинали если программам запрещать что-то

простите, я не понял: почему из-за какой-то говнопрограммы нужно запрещать всем??

при чём тут система? Зачем фейсбуку ЭТО всё надо

Криво спроектированное API с ещё более криво спроектированной системой пермишенов.

а там программа молча по всему списку разрешённая, да?

Нет, по умолчанию доступ лишь к ограниченному набору API. Для работы с GPS, контактами, пользовательским календарем, напоминаниями, фотками, bluetooth, микрофоном, акселерометром, всякими аккаунтами etc. нужны специальные разрешения, запрос на которые выдается пользователю непосредственно в момент перед использованием. Любой запрос можно отклонить, и прога должна уметь жить с этим.

Еще раз и по слогам. У одних камер горят, у других - нет.

ок. Перед покупкой буду проверять. Если горит — фтопку.

Функциональность вполне себе соответствует описанию.

дык там все приложения требуют таких разрешений, а если не дать, они тупо не поставятся. Если я правильно понял.

за лютую копипасту не даютъ

херово... Гугл как всегда сделал хрень, которая выгодна в первую очередь ему, а во вторую — ZOG'у...

это безобразие !

почему из-за какой-то говнопрограммы нужно запрещать всем??

ну потому что — это равносильно отказу от поддержки обратной совместимости!

пользователь-то откуда знает почему-вдруг одна-и-та-же программа — на одном Андройде работает норм, а на следующей версии Андройда — вылетает с ошибкой ,например, java.lang.NullPointerException :)

пользотелю проще предположить что проблема в самом Андройде а не в программе..

а вот разработчики CyanogenMod — не нарушили обратную совместимость.. ни каких java.lang.NullPointerException :-)

Аха! Сито натуральное ::).

Google может закрыть данную уязвимость, введя ограничение на минимальный размер превью фото

Упоролся он, это не закроет уязвимость.

пользователь, включив экран, все равно не сможет заметить вторжение, получение и отправку данных

Вот это и надо закрывать:

Хотя думается это даже не вторжение, а просто возможности предоставляемые приложению на приём и отправку данных ИНТЕРАКТИВ ЖЕ всем подавай, это касается вообще чего угодно, синхронизация контактов и файлов в облака к примеру вроде безобидная штука на первый взгляд. Но это только на первый взгляд.

Короче так или иначе эта уязвимость и ей подобные будут ещё очень долго, и тут как всегда всплывает прописная истина НЕХСТАВИТЬГОВНОНЕПОЙМИОТКУДА, хотя и на офф репе гугла наверняка умников много. Не застрахован никто, да и вообще тут даже исходный код не поможет, я вас умоляю кто смотрит что ли исходники перед установкой? Оййй типа я хакир я скомпилил сам я поставил сам я настроил сам, а толку? Как зонд был если он там был так и остался.

Ха. Пускай любуются на мою небритую морду, мне не жалко.

пользователь-то откуда знает почему-вдруг одна-и-та-же программа — на одном Андройде работает норм, а на следующей версии Андройда — вылетает с ошибкой ,например, java.lang.NullPointerException :)

а с какого перепугу программа работающая в версии Y должна работать в версии Z? Такого никогда не было, нет, и не будет. А пользователь качал новую версию программы и не жужжал.

Какая «неожиданность».

Упоролся он, это не закроет уязвимость.

не закроет, но сильно усложнит эксплуатацию.

эээ... А зачем производителю девайса заморачиваться с приложениями и правами, если всё это уровнем ниже можно разместить?

О нет!

Грязная ложь, это не баг.

Под линуксом эти светодиодики зачастую не горят.

Да в линуксе зачастую много что еще не работает :)

Кроме того, их можно залепить.

Программно?

Уязвимость в Android позволяет делать фотоснимки без участия пользователя

Здесь есть кто-то, кто в этом сомневался?

На ноутах всегда загорается программно не регулируемая лампочка на веб-камере при её включении. Этого сложно не заметить

она регулируется драйвером...учи матчасть...

И из доса/уефи(что более модно и современно) ты легко можеш читать память камеры,без включения никаких светодиодов.

Или ты думаеш ПОЧЕМУ вслед за мобилками камеры стали пихать во все мониторы?Там в прошивке бекдор(точнее спроектировано с бекдором,и позиционируется как технологическое решение),и никто этого не скрывает.

P.S.Чтоб в ысдохли писатели каптчи,последний раз(после 100 попыток) в жизни ввожу каптчу,и игнорю порталы с каптчей.

можеш
думаеш

Все понятно.

Это можно делать уже 4 года как. В чём новость-то, в том, что «инженер» открыл для себя Android API?

Кривое API камеры существует со времён Froyo, а может и раньше. Конкретно эта «уязвимость» говорит ровно об обратном, что пользователю зачем-то вообще нужно создавать поверхность для превью, чтобы сделать снимок. Пусть «инженер» почитает исходники нативной части сервиса камеры, откроет ещё много открытий чудных, таких как захардкоженный щелчок затвора при снимке.

Пишу это как штатный разработчик стека камеры 1.0 и 2.0 Android под чипы TI 44xx для Galaxy Nexus. Любопытный «хакер» уже давно задался вопросом как вообще работает телеконференция в том же Skype со свёрнутым приложением, расковырял бы исходники Camera HAL открытых прошивок (таких как TI, Exynos) и нашёл бы хаки, которые запиливают специально для обхода несовершенства API.

Вообще те, кто читают исходники Android, знают про новый HAL 2.0 и 3.0, который добавили в Jellybean полтора года назад (а для партнёров он доступен уже два года как). В нём выкинули весь старый стек и переписали всё с нуля. Вот только соответствующий API со стороны Java так и не взошёл, чего они ждут так долго для меня загадка, ждём Android 5.0.

И да, сия «уязвимость» должна решаться набором прав для приложения. Для которых со стороны Android API всё реализовано уже N лет как на уровне Binder. Если сервис для приложения недоступен, то в рантайме ты получишь Java-исключение при получениии интерфейса на него, обработаешь и будешь работать дальше без этого функционала. Понять бы ещё когда это запилят, если вообще. Такое ощущение, что Google поувольняла всех своих Android-разработчиков.

офигеть новость... Баян на баяне, баяном погоняет. Да куча прог типа «антиугонных» сие пользует с незапамятных времён.

Решето!

Да... характерно гугловый способ «закрыть уязвимость». К тому же, как говорил Брин(?), честным людям нечего скрывать.

ГЕНИАЛЬНО )))

интересно как он это сделает при выключенном интернете :)

Xposed XPrivacy же. не отбирает права, а отдает фейк или пустые данные

Андройде

Извините за оффтопик, но мне всегда хотелось узнать, как люди, употребляющие й вместо и, различают слова «войн» («в XXI веке не было войн») и «войн» («войн покрепче сжал меч и закрылся щитом»)?

Так вам, технофашистам, и надо.

Достаточно установить любое приложение, отбирающее эти самые права, и вдумчиво эти самые права отобрать. Например, Permission Manager, XPrivacy... тысячи их.

уязвимость в мозгу автора позволяет делать убогие посты