Феликс Краузе, создатель Fastlane.Tools и по совместительству сотрудник Google, обнаружил, что любое iOS-приложение способно «подсматривать» за пользователями без их ведома. Как оказалось, однажды получив доступ к камере, программа будет функционировать в стандартном режиме, при этом её разработчики смогут фотографировать или снимать на видео всё происходящее.
Чтобы продемонстрировать работу этой уязвимости, Феликс Краузе написал приложение, имитирующее обычную социальную сеть. При запуске оно запрашивает доступ к камере, чтобы якобы сделать фото для аватара, — стандартная практика для подобных сервисов. Но затем программа начинает загружать в ленту снимки, снятые в фоне на фронтальную камеру.
Инженер утверждает, что уязвимость позволяет загружать снимки и видео на серверы приложения, включая трансляцию в режиме реального времени с iPhone. Он решил, что злоумышленники могут определить местоположение пользователя на основе данных с фотографии или запустить распознавание лица, чтобы определить его личность. Ко всему прочему, это отличный инструмент для рекламных организаций, которые могут следить за реакцией человека на тот или иной товар.
Разработчик утверждает, что единственным способом обезопасить себя является использование стикеров, закрывающих объективы камер. Компания Apple пока не прокомментировала ситуацию.
Источник:
![Yadro Kvadra_T — очень дорогой российский планшет на Kvadra OS [ФОТО]](https://4pda.to/s/as6yqykFI2Vz2Lr4X1ez0z23HS0fz05urpZ5rbEf.jpg?v=1685532204 "Yadro Kvadra_T — очень дорогой российский планшет на Kvadra OS [ФОТО]")
![Блогер показал ужасающего «секретного босса» в Atomic Heart [ВИДЕО]](https://4pda.to/s/as6yz1eyucGIYW4VxONz0z2Z14qxmuz0ya7VcRMBQZssBc8c.jpg?v=1681784309 "Блогер показал ужасающего «секретного босса» в Atomic Heart [ВИДЕО]")
А в чем уязвимость, если разрешение на камеру дано? В андроид все так же работает же.
kolyanok,
Это не уязвимость, это политика эпл !)
Не пользуйтесь айфоном в туалете)))
nicromonger1991,
Пользуйтесь айфонами в туалете, страна должна знать своих героев в лицо 😀
Dogii,
скорее Кук !)))
Устраиваемся поудобнее в свои диваны и наблюдаем за шоу по "игре в сифу" между гугл и эпл!)))
А может надо просо смотреть что тыкаешь?
BLOODY1987,
Нужду справлять нужно, а не тыкать в сдавленное 😀
Чаще какайте в темноте...и у айфона 14 скорее появиться камера ночного видения...Вывод:нужда -двигатель прогресса))
Dogii,
Есть и хорошее в слежке или сборе данных на серваках. Ждем очередной слив туалетной съемки на айфон от знаменитостей женского пола
Dogii,
Походу тут 70% дро-черы им подавай приколы с ютуба !!! Всевидящее око саурона за всеми нами наблюдает.... Есть только один вариант выкинуть все телефоны и уйти в тибетские монахи...
petrvelikii,
Идея, создаем приложение на iOS , делаем всем 4pda популярным, представляется другом звезды, отправляем его им, они его ставят, и мы получаем лучшие сливы. ПРОФИТ.
nicromonger1991,
Тихо сам с собою, я веду беседу.
nicromonger1991,
Правильно покажем американским спец службам свою задницу
Dogii,
Мне рулон туалетных айфонов пожалуйста!
nicromonger1991,
Мне даже в туалете скрывать нечего, пусть завидуй.
nicromonger1991,
ну у гугла, в таком случае, еще более "замечательная" политика. Там разрешения спрашивается только при установке, а потом приложение без вопросов включает камеру в любое время.
На айфоне же можно отказаться от доступа к камере и пользоваться приложением без этой функции.
kolyanok,
в андрюше так же !)
nicromonger1991,
Rеvеngа,
Может быть, я пользовался до 4.4.
kolyanok,
с 6ого можно запрещать доступ к конкретным функциям.
а до 6ого всё как ты написал, при установке вываливает весь список требований и 2 вариант: установить/отмена
Egoista Bond,
Однако некоторые приложения по-прежнему требуют доступ к тому, что ты запретил и иногда из-за этого не хотят функционировать
Ksander321,
потому что разрабы таких приложений ленивые
kolyanok,
Вот вся суть яблошника....
В айфоне же нет приложений, я пользовался первым яфоней
#YouROK#,
Так есть. Он же обновляется до новой iOS, в которой уже приложения есть. В отличии от большинства андроид телефонов, на поддержку которых производители положили огроменный болт.
kolyanok,
Ты с какой планеты? Со времен 6.0 запрашивается доступ когда приложение этого требует, а не при установке.
Rеvеngа,
Если приложение написано для старых версий android, то оно получает все права автоматически.
uzenelse,
Никогда не слышал подобного бреда.
Rеvеngа,
Не разбираешься - не лезь. Никто не мешает указать targetSdk хоть андроид 4, и будет спрашивать разрешения скопом и при запуске
Rеvеngа,
Молодец. А ведь достаточно одной минуты поиска "android permissions documentations".
Чтоб прочитать подобный "бред" в официальной документации
> If the device is running Android 5.1 or lower, or your app's target SDK is 22 or lower: If you list a dangerous permission in your manifest, the user has to grant the permission when they install the app; if they do not grant the permission, the system does not install the app at all.
Rеvеngа,
> Ты с какой планеты? Со времен 6.0
С обычной планеты с андроидами и их обновлениями.
Какбэ половина смартфонов с андроид имеют версию ниже 6.0
kolyanok,
при попытке использовать камеру на андроиде вылазит ошибка - камера занята другим приложением. Т.е. можно в принципе отследить что кто-то кроме тебя её использует. И на андроиде свежем сейчас контролируется засыпание приложений, а спящее приложение ни за кем следить не сможет.
Palppk,
так тут камера работает только пока приложение на экране, если свернуть перестанет. В Андроиде так же. Есть приложения для скрытого фотографирования, демонстрирующие левый интерфейс во время работы.
kolyanok,
Погоди а также разговор про 6.0 где типа выбираешь разрешить или нет??сам 5.00..пользуясь..на 6.0_и дальше как то не повёлся..??!
kolyanok,
Сразу видно знающего человека. А я дурак когда писал тестовое приложение так и не смог запустить камеру втайне от пользователя. Система обязывает программу отображать изображение с камеры на экране в случае если приложение хочет запустить камеру
oberon2000,
Есть способы. На СО нашёл рецепт. Превью с камеры делаешь 4х4 пиксела и бросаешь в угол экрана - практически незаметно. Пользователь не знает, работает камера или нет
oberon2000,
Ага, превьюшку 1x1 делаешь и пускай себе отображает.
Не правда ваша. При первом запуске тож спрашивает, обычно получает отказ. Ну и в миуи (а может и не только, у меня к сожелению только эта китайская дрянь) можно в настройках разрешениями порулить. Типа сначала разрешить, а потом сказать "нехер тут".
Pondesss,
ну я только до 4.4 пользовался андроид (дальше мой телефон почему-то не стали обновлять, хотя айфоны тех лет обновляются вон до сих пор). Там не было. Так что не знал. На айфоне всегда можно было в настройках разрешать и запрещать.
kolyanok,
Это уже вина производителей.
kolyanok,
Жаль расстраивать, но на андроиде так же
kolyanok,
С шестого андроида, кажется, на каждое включение спрашивается разрешение
kolyanok,
Так написано же, что после того как дано разрешение и айфон начал загружать уже в фоне, без ведома фотки снятые.
Mutsu96,
На андроиде так же, если есть разрешение, приложение в любой момент может его использовать.
Mutsu96,
пока окно приложения не свернёшь. В фоне не может фоткать.
kolyanok,
Нет дружище в андроиде при выходе из приложения камера вырубается и приложение в фоновом режиме не может просить разрешение на камеру.
Приму в дар это зловещее устройство :)
kolyanok,
Уязвимость в том, что дав разрешение использовать камеру, на Android фоном, камера не снимает все, что ты делаешь.
NaSk1lle,
Приложение "Background Video Recorder" вроде такое заявляет.
+ Record video in the background while you use your phones other functions
В Гугл заняться нечем ? Сами бракоделы , как софт, так и железо, так ещё и к другим лезут.
Slatvinsky,
Так это политика с душком, нагадить соседу и забрать клиентов побольше
Dogii,
Она у них взаимная!;)
Slatvinsky,
Т.е. ты любишь, когда за тобой наблюдают, да?)
Mosaik,
Параноиков не люблю
Slatvinsky,
> В Гугл заняться нечем ?
Ну так очевидно, что они же тоже приложения под iOS пишут.
И что, это и так ясно, потому что со времен ios 9, у приложений появился доступ к апи камеры, а не только доступ к запуску приложения для снимка
ilya0103,
Ну вот да. Поэтому не совсем понятно, в чем заключается уязвимость?
kolyanok,
На пример это в телеграмме видно, что если нажать на отправку фото, то появляется очень маленькое окно с изображением с камеры, так чего стоит это изображение сделать в крайнем случае размером с 1пиксель или вообще убрать и снимать бесплалевно видео? Это просто так было, все адекватные разработчики не обращали на это внимание, ну можно да и можно, а этот эксперт поднял шумиху, типо он нашел ))
kolyanok,
Рассмотрим ситуацию, ты дал доступ какому-нибудь блаблаграму к камере, пошел на совещание, чувак на другом конце включил фоновую запись, слил твое совещание в сеть, утекла информация и так далее. Уязвимость в том, что любое приложение получившее доступ к камере, может её самопроизвольно запускать и записывать то, что ему угодно. Так понятнее?
NaSk1lle,
В нормальных конторах, телефоны на проходной в сейф сдают.
Voevoda78,
В секретных может быть, в обычных же конторах, люди пользуются телефонами, будь то всякие биржы и т.д.
>купить ифон за 1000$ из-за крутой камеры
>заклеить её стикером
<ФбР впала в печаль
Murmulad,
> заклеить её стикером. ФбР впала в печаль
Как смешно. Только вот директор ФБР на пресс-конференциях сам рекомендует пользователям заклеивать камеры.
adasiko,
Да? Серьезно? Откуда у вас такая информация?
NaSk1lle,
Ну да, следует поправить на
> Только вот бывший директор ФБР на пресс-конференциях сам рекомендовал пользователям заклеивать камеры.
Был уволен в 2017 году из-за всяких там расследований по выборам в США
adasiko,
Ну вот, другое дело.
NaSk1lle,
основная идея оригинального поста от этого не меняется
adasiko,
Это был просто стеб
adasiko,
Чем вас фбр напугало? Приедет в зажопинск арестует и посадит в американскую тюрьму?
Чувствуется профессионал - сам наверняка подобное под ведро пишет/проверяет работу.
Лучше бы занимался поиском подобных вещей в приложениях под андроид. Раз уж работает в гугл.
У них в Гугле политика такая: делай, что хочешь, только приноситься пользу компании. Вот он и приносит пользу компании, отбивая потенциальных клиентов у Эппл
IOpuu_KpuBopykuu,
На "делай что хочешь" у гугла даётся 1 день в неделю. Остальное время делаешь то, что тебе скажут. Да и сейчас правило 20% вроде прикрыли...
Сотрудник Эппл нашел в гугл серьезную уязвимость
Смешно
(Комментарий удален)
(Комментарий удален)
у меня фейскамера плёнкой матовой заклеена всегда.. наэкранная плёнка без выреза под камеру
гениально
Пусть снимают, мне не жалко. Я нефотогеничный ппц, а фронтальная еще больше искажает мою физиономию. Сами испугаются и перестанут следить.:)
sdfqwe,
Перевожу на более доступный язык: по камере могут понять, что ты ушёл из дому и сидишь в офисе. И спокойно влезть в квартиру, пока камера показывает твоё нефотогеничное лицо в офисе.
rommex73,
А в квартире жена теща, две собаки и дети. Лезьте я за последствия не отвечаю.
Прикольно. Яблочники у ноутов камеру заклеивают, теперь и на огрызках будут :)
Mosaik,
А с ноутами что не так?
Mosaik,
> Яблочники у ноутов камеру заклеивают
А ничего смешного. Совершенно правильная практика.
Да, у меня тоже на ноутбуке закрыта перещёлкивающейся задвижкой.
adasiko,
Конечно правильная практика, если ты блондинка, и не можешь защитить свою OS от всякого хлама с вирусами, ой подождите, на MacOS вы не можете ничего делать с системой кроме изменения обоев.
NaSk1lle,
Слишком толсто.
adasiko,
Да нет, просто слишком правда :)
NaSk1lle,
И да. Я рад за тебя, если у тебя хватает сил проанализировать с каждым апдейтом ОС и браузера на безопасность взаимодействие с камерой.
У меня, как и у всех других людей (кроме тебя конечно) таких возможностей нет
adasiko,
У других людей, тоже нет таких возможностей. Они пользуются Linux и не знают проблем.
Mosaik,
Ну и я использую на десктопе давным-давно, и что фанатик? - Ничего.
Не рассказывай сказки про тысячи глаз просматривающих код.
Вот когда прилетит в браузере багофича, что сайт сможет тебя снимать без спроса - уже поздно будет. Исправят то потом.
Мне оно не надо, так же как и многим признанным экспертам в безопасности, а не тупым параноикам.
PS: фанатики - они и есть фанатики.
adasiko,
Т.е. все, кто пользуются Linux - фанатики? Оригинально :)
Mosaik,
Нет, конечно.
Вряд ли подобная публикация возникла бы просто так.
Вряд ли Краузе обнародовал своё открытие лишь ради дискредитации конкурентной компании. По-крайней мере, он не мог бы сделать подобное, не согласовав с собственным работодателем.
Современные мобильные устройства с загруженным закрытым программным обеспечением, вкупе с такими вот публикациями позволяют нам усвоить одну полезную мысль: Доверять тут некому и нечему.
Anotheroneuser,
все просто, не регистрируйте свою личную жизнь в паблике и некуда будет тырить вашу ЕЕ!
olmer2002,
есть неприятная догадка, что современные социальные сети и их части — горизонтальные и вертикальные информационные ленты устроены так, чтобы привлекать и удерживать внимание посетителя. Не замечал, как начинаешь прокручивать обычную, насквозь дурную или набитую банальной ниочёмщиной ленту до тех пор, пока не наступает утомление? Мне кажется, если бы ту же информацию представить человеку в виде отпечатанных страниц (журнал или вроде того, или, по-крайней мере, рулон туалетной бумаги), то подобного эффекта бы не возникло.
Это что касается просмотра. А в том, что касается стремления «регистрировать» свою личную жизнь, всё ещё сложнее... Несмотря на множество исследований и красочных видеоразъяснений, которые появляются даже заграницей, желание человека обнародовать свою личную жизнь подсунутым ему «удобным» способом не ослабевает..
Если присмотреться к антуражу программ и вычислительной техники, созданной для такой публикации, то можно увидеть множество призывов а) продолжать делать это б) уверовать в то, что это — нормальное и общепринятое поведение. Если сейчас в ответ на вопрос о «твоей страничке вк» заявить о её полном отсутствии, собеседник может реагировать с удивлением. Это говорит о том, что предыдущее предположение отчасти верно и довольно глубоко укоренилось в нашем сознании.
Если кратко, то да — не собирай сведений о себе и похищать будет нечего.
Те пользователь якобы не увидит в своей ленте левые фото?
А если вообще его нет в соц сетях, а какую ленту оно будет загружать фотки?
И опять же, он сам написал такое приложение, которое , получив доступ к камере, тырит слайды...
Он чего, хочет заработать на стикерах?
Так всегда можно тому или иному приложению запретить доступ к камере...и разрешить только к фотопотоку...
olmer2002,
Статью читал? Он это приложение написал ради показа дыры. Всё льется сразу на сервер разраба...
dfrew,
Да вы что, люди думают что с камеры можно взять только их лицо, ведь никакой больше информации получить нельзя, блондинки что взять.
Скоро в продаже будут цветные стикеры в цвет телефона, наклейки на фронтальную камеру в виде котиков, пёсиков, свинок пепа, смайликов. Хитом продаж будет 3Д наклейка с Именем владельца в виде логотипа)
BOSCHua,
> Скоро в продаже будут цветные стикеры в цвет телефона
Очень давно есть.
давно уже пора как обязаловку во всех смартах втыкать отдельный светодиод для камеры, ну шпец-шапки в комплект класть!)
zeromas,
а потом будет так как на PC что обойдя драйвер можно снимать не светя светодиодом :)
Хорошо. А есть факты использования этой фичи? Какой смысл Apple руинить свое реноме, наработанное десятилетиями, ради одного случая слежки. Ведь если есть такая фишка, то ведь рано или поздно ею придеться воспользоваться и раео или поздно попасться. Одна история со слитием данных из базы данных паспортных столов и налоговой службы показатель как одним махом можно потерять навсегда доверие людей.
valgaav,
Причем здесь Apple то? Это дыра в системе безопасности, с помощью которой, любой разработчик приложения к которому дали доступ к камере, может по своему желание использовать вашу камеру где и когда угодно.
Apple нужно больше думать о таких вещах, вместо того чтобы закрывать уязвимости для джейлбрейка.
valgaav,
ТЫ переоцениваешь людей. Большинству плевать, пока жареный петух не клюнет. Только потом уже будет поздно.
Написал "Создатель Fastlane.Tools и по совместительству -> сотрудник Google" , вас это не настораживает? )))))
Если бы этот Хрен не написал то никто и никогда процентов 99 не знал бы об этой хрени, особенно гопники и всякие домушники :))) Не очень то в основной своей массе наделенные интелектом. ))))
В будущем комплект Эпла : смартфон, чехол из алюминия экранированый, шапка из фольги, наклейка для заклеивания камеры )))))
Jimm85,
Комплект, ага, размечтался) За 99 долларов отдельно купишь)
Так это и не новость
Инженерам гугл видимо заняться нечем, только искать косяки в чужих осях, своей бы занялись.
Viacces8,
Да все они этим занимаются.
Про эту возможность еще пару лет назад тут же читал тока про ведро.типа 1х1 и поехало
А разве кто-то еще не знал об этом?
При Джобсе такого не было.
хахаха. сотрудник компании, про продукцию конкурентов... так сотрудники о конкурентах никогда ничего и не скажут положительного. на андройд есть же приложения, которые могут закрывать доступ к интернету других приложений. типа эдгуарда.
И будет оно снимать большую часть времени карман или потолок.
А что в андроиде не так сейчас, если я даю разрешение то все... Все время возмущало почему нет возможности при запросе выбрать разово дать или на время ;)
>обнаружил, что любое iOS-приложение способно «подсматривать» за пользователями без их ведома.
Пфф...тоже мне новость. Прям Америку открыл. Айфон - сам по себе персональный зонд для слежения за его хозяином.
Снова большой брат и невидимая рука и бла бла бла