Современные смартфоны могут «слушать» владельцев телефонов без их ведома, сообщает zakon.kz со ссылкой на Лента.ру.
Эксперт по информационной и компьютерной безопасности Сергей Вакулин предупредил, что некоторые установленные приложения могут записывать разговоры владельца, если во время их установки был разрешен доступ к микрофону.
Доступ к микрофону таким приложениям дает сам владелец устройства. После этого микрофон может включаться уже без спроса — смартфон даже может оставаться в заблокированном состоянии.
У нас часто происходит, что вы взяли кредит в одном банке, а вам сразу звонит другой банк и предлагает другой кредит. Продажа данных – это уже банальная тема, — отметил он.
Защититься от этого можно, если ограничить число приложений с доступом к микрофону. Для особо важных переговоров Вакулин посоветовал приобрести телефон без возможности подключения к современным сетям связи.
Если приглядеться ко многим чиновникам и миллиардерам, то они ходят с кнопочными телефонами. Кнопочный телефон очень трудно будет прослушать, поскольку там нет 3G, LTE и так далее, — пояснил эксперт.
Ваш смартфон прослушивают, и это не паранойя
Есть зависимость контекстной рекламы на смартфоне от невинных разговоров. Замечали?
Прослушивание вашего смартфона могут активировать специальные слова, которые вы произносите. Чтобы смартфон вдруг обратил внимание и начал записывать ваш разговор, должен быть запущен некий триггер — например, нужно произнести пресловутую фразу «Окей, Google» или «Привет, Siri». В отсутствие этих триггеров любые данные обрабатываются только в пределах вашего собственного гаджета. Это не кажется чем-то тревожным, но любые сторонние приложения, например Facebook, имеют доступ к этим данным.
Facebook или Instagram могут использовать услышанные смартфоном слова-триггеры и запускать анализ речи. С точки зрения маркетинга в этом есть смысл, а законы и соглашения об использовании продукта вполне позволяют это делать. Впрочем, нет никакого способа это проверить наверняка. Журналист издания Vice Сэм Николс решил проверить эту теорию и в течение пяти дней произносил слова, которые могли бы стать триггером для активации прослушки.
И знаете что? Слова о высшем образовании и покупке дешёвых рубашек неожиданно сработали! В ленте новостей Сэма вдруг стали появляться рекламные предложения различных учебных заведений и недорогой одежды. Хенвей уверяет, что ни одна компания не продаёт собранные данные рекламодателям, а обрабатывает их самостоятельно. Эта информация бесполезна для спецслужб и используется лишь для таргетирования рекламных объявлений.
Как следить за кем угодно через камеру его смартфона
Параноикам дальше лучше не читать. Специалисты по кибербезопасности из компании Checkmarx заявляют: в операционной системе Android есть серьезная уязвимость — при желании можно получать фотографии, видео, звукозаписи и местоположение пользователя практически любого смартфона.
Android обладает богатым набором различных разрешений для приложений. По задумке создателей, эта система ограничения доступа к функциям смартфона должна обеспечить существенные затруднения для вредоносного ПО. Например, без разрешения использовать камеру — программы злоумышленников не смогут получить с нее новую картинку, а без разрешения записывать звук — не получат голос владельца.
На практике самое распространенное разрешение, требуемое приложениями — доступ к хранилищу — дает злоумышленнику практически неограниченные возможности шпионить за владельцем смартфона. Даже не используя никакие уязвимости, любое приложение, которому позволено читать и записывать данные на встроенную память, может найти и украсть любой файл. Это могут быть конфиденциальные документы, диктофонные записи или снимки, а также видео.
Изучая метаданные фотографий можно узнать место, где был сделан снимок (если запись геоданных принудительно не была отключена пользователем). А если проанализировать все фото в галерее, можно построить карту перемещений объекта слежки. Порой и этого достаточно для шантажа, атаки на жертву при помощи социальной инженерии либо же кражи финансовой информации. Однако, есть уязвимость, которая расширяет арсенал злоумышленника до невероятных границ.
Сотрудники компании Checkmarx знают способ заставить камеру смартфона принудительно делать снимки или записывать видео. Для этого необходима определенная (неназванная в целях безопасности) последовательность действий и внутренних системных вызовов. Все, что после этого остается злоумышленнику — скачать полученные в результате ролики и фотографии.
Это позволяет приложению не имеющему доступ к камере производить полноценный захват видео, звука (в форме аудиодорожки к видео), изображений окружающего смартфон пространства и отслеживать местоположение жертвы (как было описано выше — через геотеги фото). Для проверки было создано абсолютно безобидно выглядящее приложение «Погода», с помощью которого был показан процесс взлома. Программа выполняет все свои основные функции — показывает текущие метеорологические сведения заданного места.
Однако сразу после первого запуска она устанавливает фоновое защищенное соединение с удаленным сервером злоумышленника и начинает ждать команды. Оно продолжает работать и после закрытия приложения. Есть два режима работы: обычный, когда камера смартфона открывается на экране, и скрытный, в котором камера будет включаться только если смартфон лежит «лицом вниз» или прижат к голове владельца (во время разговора).
В результате эксперимента со смартфона Google Pixel 2XL под управлением версии Android 9 были получены геоданные из всех снимков, а также фото и видео в режиме реального времени. Более того, специалисты по кибербезопасности продемонстрировали вполне реальный вариант шпионажа, когда человек разговаривает по телефону рядом с проектором, на который выводятся конфиденциальные данные. В момент разговора смартфон записывает видео, а после этого готовый файл злоумышленник благополучно сохраняет себе.
Информация об этой уязвимости была предоставлена компании Google, чтобы та выпустила исправленные версии программного обеспечения. Но сроки появления «заплаток» до сих пор не обозначены и уязвимость работает.