Android камера может шпионить за вами, пока телефон заблокирован

Открытость Android является главным преимуществом операционной системы Google. Тем не менее зачастую это приводит к дырам в безопасности. Вот и на этот раз исследователи компании Checkmarx обнаружили серьёзную уязвимость, которая затронула несколько моделей смартфонов Google и Samsung. Она позволяла злоумышленникам управлять приложением камеры устройства, записывать звук, определять местоположение и многое другое.

Проблема затрагивала приложения Google Camera и Samsung Camera, их можно было удалённо контролировать без каких-либо специальных разрешений. Пользователю достаточно было открыть доступ к памяти устройства, после чего злоумышленники могли свободно проникнуть во внутреннюю память смартфона и к содержимому microSD-карты.

В качестве подтверждения потенциальной опасности специалисты Checkmarx продемонстрировали уязвимость, создав фейковое приложение погоды, которое запрашивает только доступ к хранилищу. Поскольку программа сама по себе безвредная, система защиты Google Play Protect её не блокирует. После установки приложение подключается к удалённому серверу и ждёт дальнейших инструкций. Закрытие приложения не прерывает соединение с сервером, позволяя злоумышленнику отправлять команды. Таким образом можно в тайне от пользователя выполнять следующие действия:

  • Снимать фото и видео с помощью камеры смартфона и загружать их на сервер. Без каких-либо признаков, поскольку звуки камеры отключены.
  • Записывать разговоры по телефону, предварительно определив, когда поступает вызов, используя датчик приближения устройства.
  • Получать неограниченный доступ ко всем фотографиям и видео на смартфоне.
  • Считывать GPS-метки со всех фотографий (если соответствующая опция включена в настройках приложения камеры). Эти данные могут быть использованы для создания карты истории местоположений пользователя.

В июле этого года исследователи сообщили об уязвимости в Google. Сначала поисковый гигант установил умеренный уровень опасности, но затем поменял на высокий и вынужден был признать, что проблема охватывает широкий круг производителей смартфонов. В августе компания Samsung подтвердила, что её устройства тоже уязвимы. В конечном счёте Google отрапортовала, что исправила проблему для вышеназванных приложений и выпустила исправление для всех затронутых производителей, точное количество которых так и не было раскрыто.

Правда ли, что к камере на смартфоне может кто-то подключиться и следить за вами?

Человек редко задумывается о том, что через камеру смартфона за ним могут следить. Проблема кроется не только в вирусах, но и в безобидных на первый взгляд приложениях. А чтобы не столкнуться с мошенниками, следует тщательно проверять программы, читать соглашения и регулярно чистить смартфон от посторонних файлов.

Потенциальные риски

Владельцы смартфонов устанавливают приложения, соглашаясь на любые условия даже без ознакомления, а потом удивляются, что за ними идет слежка. А ведь если на девайс попадет вредоносное ПО, то оно незаметно для человека будет делать снимки минимально возможного размера.

На девайсе с высоким расширением экрана их будет незаметно. Между тем, эта уязвимость станет отличной возможностью для злоумышленников завладеть личными фотографиями и данными пользователя, которые они потом смогут пересылать по сети.

Главные признаки слежки

Понять, что к смартфону подключился посторонний человек достаточно сложно. В некоторых моделях о работе камеры оповещает светодиод. Если он загорелся, значит, кто-то делает фотографии или снимает видео.

Насторожить владельца девайса должен и его необоснованный перегрев, после чего следует немедленного его проверить.

Возможно, это запустилось фоновое приложение (например, погода, почта), но стоит проявить бдительность. Если же видимых причин для работы процессора так и не будет выявлено, то лучше проверить телефон на вирусы и закрыть камеру.

Самые надежные способы защиты

Эксперты лаборатории Роскачества рекомендуют придерживаться простых правил, которые защитят от посторонней слежки:

    Заклеить фронтальную камеру непрозрачным скотчем или изолентой. Такой способ применяют владельцы ноутбуков, когда нет потребности в видео-общении.

Конечно, услышав такую рекомендацию, многие усмехнутся, но развитие шпионских технологий заставляет принимать даже такие защитные меры.

Если утилита отлично справляется со своими заданиями и без подключения к камере, микрофону, галерее и другим данным, то доступ к ним лучше ограничить.

Мошенники часто используют ссылки или файлы, которые присылают человеку на электронную почту, через СМС и сообщения в соцсетях.

Нередко устаревшие утилиты хуже справляются со своими обязанностями и могут пропустить вирусы.

Избежать инфицирования смартфона вредоносным ПО помогут официальные интернет-магазины: Play Market и App Store.

Какая из этих методик будет выбрана – решать самому пользователю. Но иногда для обеспечения максимальной защиты имеет смысл воспользоваться сразу несколькими способами – хуже уж точно не будет.

Шпионаж в XXI веке стал проблемой, с которой сталкиваются даже среднестатистический гражданин России. Благодаря развивающимся электронным технологиям настоящим врагом для человека может стать камера на его смартфоне. Чтобы этого не произошло, следует изучить правила кибербезопасности и научиться применять их на практике.

Эксперт рассказал, кто может подглядывать за вами через камеру смартфона

Эксперт рассказал, кто может подглядывать за вами через камеру смартфона

Ситуации с утечкой важной и конфиденциальной информации, в частности, записей разговоров и различных фотографий пользователей смартфонов, в 21 веке встречаются нередко.

По словам доцента кафедры информатики РЭУ имени Плеханова Александра Тимофеева, доступ к данным злоумышленники могут получить с помощью разных технологий — вредоносного программного обеспечения или используя так называемый уровень производителя. Уточняется, что его возможности для телефонных хакеров практически безграничны.

— Несанкционированный доступ хакерского программного обеспечения к видеокамере и микрофону вашего смартфона, а также данным геолокации, системе хранения файлов, истории поиска, а также переписке в мессенджерах — это реальность, — рассказал эксперт агентству «Прайм».

Чтобы обезопасить свои данных в телефоне пользователям следует при использовании электронных систем связи с помощью шифрования всех входящих и исходящих информационных потоков.

Спецслужбы назвали радионяни уязвимыми для преступников

Утечка информации может носить масштабный характер (подробнее)

Могут ли злоумышленники подключиться к камере телефона?

Человек может даже не подозревать, что доступ к камере на смартфоне имеет не он один. Причем причина не всегда кроется в вирусах, следить за пользователем могут и безобидные на первый взгляд приложения, которые таким образом собирают метаданные, использующиеся потом для показа адресной рекламы. АиФ.ru узнал у эксперта по гаджетам Ильи Корнейчука, как понять, что кто-то посторонний получил доступ к камере на смартфоне, и обезопасить себя от такого вмешательства.

Как понять, что кто-то получил доступ к камере?

По словам Ильи Корнейчука, на некоторых смартфонах может произвольно включаться светодиод: это сигнал о том, что ведется фото- или видеосъемка. Но так происходит далеко не на всех устройствах.

«Съемка может вестись и в скрытом режиме, так как мало на каких телефонах есть физический затвор, на большинстве смартфонов он программный. Поэтому зачастую неопытный пользователь не понимает, что телефон его фотографирует или снимает видео», — говорит Корнейчук.

Эксперт добавляет, что среди косвенных признаков также стоит обратить внимание на внезапный нагрев телефона. Но и это далеко не всегда сигнал того, что ваш телефон взломали.

Самый распространенный случай — когда пользователь сам разрешает приложению следить за ним. Например, скачав приложение, не прочитав пользовательское соглашение и не обратив внимание на то, что оно запрашивает слишком много разрешений.

«Бывает, что ты скачиваешь приложение, которое служит для безобидной цели. А оно запрашивает очень много интересных разрешений: доступ к камере, микрофону, геоданным, истории геоданных, истории звонков, контактам. Это очень много данных, которые этому приложению, казалось бы, не нужны. В этом случае пользователь должен насторожиться: зачем это нужно программе? И если он согласится, то фактически добровольно передаст все свои данные третьей стороне», — поясняет эксперт.

Как обезопасить себя от мошенников?

По словам Ильи Корнейчука, в первую очередь не нужно скачивать приложения из непроверенных источников, следует пользоваться официальными интернет-магазинами: Play Market для Android и App Store для iOS. «Если человек скачивает приложение из официального магазина, то шансы нарваться на вирус очень низкие, так как магазины проверяют приложения и борются с ними», — считает Корнейчук.

Также эксперт советует устанавливать на телефон только официальное ПО и всегда обращать внимание на то, какие разрешения нужны программе. «Не скачивайте программы с непонятных сайтов и внимательно смотрите, какие разрешения просит программа, когда ее скачиваете на телефон. Это с большой вероятностью защитит от большинства случаев заражения вредоносным софтом», — говорит Корнейчук.

В Роскачестве, чтобы обезопасить себя, советуют заклеивать непрозрачным скотчем или изолентой камеру не только на ноутбуке, но и на смартфоне, когда она не используется. «Действительно, заклейка камеры и микрофона — уже не паранойя, а одно из правил „цифровой гигиены“. Это как закон, который необходимо соблюдать и незнание которого, как и любых других законов, не освобождает от ответственности», — считает заместитель руководителя организации Илья Лоевский.

Также в Роскачестве рекомендуют максимально внимательно относиться к запрашиваемым доступам мобильных приложений. В случае если приложение может работать без доступа к камере, микрофону, фотогалерее или геолокации и это не скажется на его работоспособности, доступ к этим функциям лучше ограничить.

Кроме того, для безопасности важно установить и регулярно обновлять антивирус, устанавливать на своих учетных записях сложные пароли и двухфакторную аутентификацию, а также не открывать подозрительные файлы из электронных писем, не переходить по непроверенным ссылкам из СМС, сообщений в соцсетях или мессенджерах.

Как спастись от мобильной слежки в жизни, а не в кино

Как злоумышленники и ревнивые партнеры могут шпионить за вами, и почему стоит оставить пакетик от чипсов киногероям.

19 декабря 2019

В новом «Терминаторе» Сара Коннор убирала телефон в пакетик от чипсов, чтобы враги не могли отслеживать ее перемещения. Наш недавний эксперимент показал, что метод (с некоторыми оговорками) вполне рабочий: парочка фольгированных пакетиков успешно глушит радиосигналы — от сотовых базовых станций, спутников (например, GPS) и беспроводных сетей вроде Wi-Fi или Bluetooth. Но так ли часто через все эти сети шпионят за людьми реальные злоумышленники? Попробуем разобраться.

Слежка через радиосигналы: GSM, GPS, Wi-Fi

Сару Коннор в первую очередь волновал сигнал спутниковой системы позиционирования — GPS. На первый взгляд — логично, ведь именно спутники позволяют определить точное местоположение устройства. Однако в действительности не все так просто.

Можно ли следить за вами через GPS

Для определения своего местоположения сам телефон никакой информации на спутник не передает. Вообще. Система работает только в одну сторону: телефон принимает сигнал от нескольких спутников, анализирует, сколько времени этот сигнал провел в пути, и таким образом вычисляет свои координаты.

Так что следить за кем-то с помощью одного только GPS невозможно. Ведь нужно как-то послать с телефона «шифровку в центр» с координатами, а в стандарте GPS такой возможности не предусмотрено.

Слежка через мобильные сети

А вот с вышками сотовой сети, в отличие от спутников GPS, общение происходит в обе стороны. И хотя определение вашего местоположения — не основная задача сотовой связи, в этом деле она тоже может помочь. Грубо говоря, зная, какая вышка в данный момент обслуживает телефон, можно выяснить, где он находится. Однако получить доступ к этим данным очень сложно.

Недавно исследователи обнаружили довольно интересный способ узнать информацию о ближайшей к телефону вышке — через замысловатую уязвимость SIM-карты, которой можно воспользоваться с помощью обычного компьютера и USB-модема. Однако этот метод требует специальных знаний в области сотовой связи, поэтому применяется он только в дорогостоящих целевых атаках.

К тому же геолокация с помощью сотовых вышек не очень точна: она позволяет определить не точные координаты, а только участок, на котором вы находитесь. И если в городе этот участок сравнительно небольшой (ваше местонахождение можно узнать с точностью до пары сотен метров), то в сельской местности, где сотовых вышек меньше, расстояние между ними может исчисляться километрами — и погрешность в определении местоположения будет тоже огромной.

Слежка через Wi-Fi

Отслеживать ваши перемещения можно и с помощью Wi-Fi — когда вы авторизуетесь в открытой сети, она получает и данные об устройстве, и некоторую информацию о вас. Кроме того, смартфоны отправляют в эфир сведения о себе в поисках доступных сетей, и отслеживать их можно, даже если вы ни к чему не подключались.

Неудобство состоит в том, что шпионить за вашими передвижениями через Wi-Fi можно, только пока вы находитесь вблизи подконтрольных следящему точек доступа. Поэтому такой метод хоть и практикуют, но не для слежки за конкретными людьми, а скорее для общего наблюдения за поведением людей на какой-то ограниченной территории. Например, это делают в некоторых торговых центрах, чтобы на основе данных о посещении тех или иных магазинов подбирать индивидуальные рекламные предложения.

Как на самом деле за вами могут следить: ОС и приложения

Получается, что следить через GPS просто невозможно, через Wi-Fi — слишком неудобно, а через сотовую сеть — дорого и сложно. Впрочем, даже если вы не глава международной корпорации или журналист, занимающийся расследованиями, это не значит, что за вами вообще никто, кроме вездесущих рекламщиков, не следит и не собирается. Например, ваши GPS-координаты, личная переписка и другие данные вполне могут интересовать мнительного начальника или ревнивого партнера. Вот как эти люди на самом деле могут за вами следить.

Взломать аккаунт Apple или Google

По умолчанию ваши данные собирают iOS и Android. Они хранят их в том числе в вашем аккаунте Apple или Google. Если его взломают, то все, что система старательно собирала, попадет в руки злоумышленника. Так что рекомендуем как следует защищать свои аккаунты. Как минимум, задать длинный уникальный пароль и подключить двухфакторную аутентификацию. А заодно можете настроить, какая информация о вас хранится в этих аккаунтах, — например, хранение истории местоположения можно смело отключить.

Просмотреть метаданные, геометки и чекины

К сожалению, иногда сами пользователи существенно облегчают слежку за собой. Например, публикуют в соцсетях фотографии с метаданными — зашитой в файле информацией о снимке: где и когда его сделали, на какую камеру и так далее. Некоторые ресурсы удаляют эти сведения при загрузке фото, но не все. Если вам не повезло, посмотреть историю снимка сможет любой желающий.

Также на руку злоумышленникам сыграют и ваши чекины и вручную проставленные геотеги. Если хотите помешать другим следить за вашими перемещениями, лучше от всего этого отказаться.

Установить на ваш смартфон spyware — программу-шпиона

Существует множество приложений, основная задача которых — собирать и передавать своим хозяевам информацию с вашего устройства. С их помощью можно отслеживать не только ваши передвижения, но и сообщения, звонки и многое другое — конкретный набор данных, которые умеют красть шпионские программы, может варьироваться.

Зловреды проникают на смартфон под видом безобидных приложений или используют уязвимости в системе. Они работают в фоновом режиме и делают все, чтобы не привлекать к себе внимания. Поэтому обычно жертва даже не в курсе, что с ее мобильником что-то не так.

Воспользоваться stalkerware — легальным шпионским ПО

Увы, не все программы для слежки считаются зловредами. Существует легальное шпионское ПО — так называемое stalkerware, или spouseware. Такие приложения часто позиционируют как средства родительского контроля. В некоторых странах подобные шпионские программы законны, в других — имеют неопределенный юридический статус. Они свободно продаются и стоят сравнительно недорого, то есть доступны всем желающим — от подозрительных работодателей до ревнивых партнеров.

Правда, устанавливать их на устройство жертвы нужно вручную. Но это препятствие незначительное, если ваш гаджет легко разблокировать. Кроме того, некоторые поставщики stalkerware продают смартфоны с предустановленным шпионским приложением, которые несложно вручить в качестве подарка или навязать как корпоративное устройство.

По функциональности легальные программы для слежки, как правило, мало отличаются от шпионских зловредов: точно так же работают втихаря и так же сливают все возможные данные вроде координат, переписки в мессенджерах, фотографий и многого другого.

В довершение всех бед, нередко они сливают эту информацию безо всякой заботы о безопасности, так что почитать вашу переписку в WhatsApp или проследить за вашими передвижениями сможет не только тот, кто установил на ваш смартфон шпиона, но и хакер, перехвативший эти данные.

Как защититься от слежки через смартфон

В общем, реальную опасность в плане слежки представляют вовсе не сотовые сети и уж точно не GPS. Гораздо проще и эффективнее следить за человеком через приложение, установленное на его смартфоне. Так что не обязательно полностью уходить в офлайн и надевать на смартфон два пакета из-под чипсов — достаточно как следует защищать свои устройства и аккаунты:

  • Используйте надежные пароли и двухфакторную аутентификацию в ваших учетных записях, особенно таких важных, как Apple ID и аккаунт Google.
  • Защитите свои устройства надежным сложным PIN-кодом и никому его не сообщайте. Никто не сможет установить шпионскую программу на запароленное устройство.
  • Устанавливайте приложения только из официальных магазинов. Хотя иногда сомнительные разработки просачиваются и в Google Play, и в App Store, там их значительно меньше, чем в сторонних источниках.
  • Не давайте мобильным приложениям разрешения, которые представляются вам излишними. Вы всегда можете расширить права программы, когда это потребуется.
  • Используйте надежное защитное решение. Например, Kaspersky Internet Security для Android распознает не только зловредов, но и легальное шпионское ПО, и предупреждает о нем владельца устройства.
Ссылка на основную публикацию