Tehnografi.com - Технологические новости, обзоры и советы

«Ошибка» iOS в Facebook тайно снимала пользователей. ИТ, обратите внимание.

Новостные сообщения на прошлой неделе — впоследствии подтвержденные твитом одного из руководителей Facebook — о том, что приложение Facebook для iOS записывает пользователей на видео без предварительного уведомления, должны послужить критическим предупреждением для корпоративных ИТ-специалистов и руководителей безопасности о том, что мобильные устройства настолько же опасны, насколько они опасались. И совершенно другая ошибка, подброшенная киберворами, представляет еще более пугающие проблемы с камеры Android.

Что касается проблемы с iOS, твит-подтверждение от Гая Розена, вице-президента Facebook по добросовестности (вставьте любую шутку о том, что у Facebook есть вице-президент по добросовестности; для меня это слишком просто), сказал: «Недавно мы обнаружили, что наше приложение для iOS неправильно запускается в альбомной ориентации. Исправляя это на прошлой неделе в v246, мы непреднамеренно внесли ошибку, из-за которой приложение частично переходит к экрану камеры при касании фотографии. к этому.”

Пожалуйста, простите меня, если я сразу же не соглашусь с тем, что эта съемка была ошибкой, а также с тем, что у Facebook нет доказательств загрузки каких-либо фотографий/видео. Когда дело доходит до того, чтобы быть откровенными в своих действиях по обеспечению конфиденциальности и реальных намерениях, стоящих за ними, послужной список руководителей Facebook невелик. Рассмотрим эту статью Reuters, опубликованную ранее в этом месяце, в которой цитируются судебные документы, устанавливающие, что «Facebook начал отключать доступ к пользовательским данным для разработчиков приложений с 2012 года, чтобы раздавить потенциальных конкурентов, представляя этот шаг широкой публике как благо для конфиденциальности пользователей». И, конечно же, кто может забыть Cambridge Analytica?

Однако в данном случае намерения не имеют значения. Эта ситуация просто служит напоминанием о том, что могут делать приложения, если никто не уделяет им должного внимания.

Вот что произошло, согласно хорошо составленному описанию инцидента в (TNW): «Проблема становится очевидной из-за ошибки, которая показывает изображение с камеры крошечной полоской в ​​левой части экрана, когда вы открываете фото в приложении и проведите пальцем вниз. С тех пор TNW удалось самостоятельно воспроизвести проблему».

Все началось с того, что пользователь iOS Facebaook по имени Джошуа Мэддакс написал в Твиттере о своем страшном открытии. «На кадрах, которыми он поделился, вы можете видеть, как его камера активно работает в фоновом режиме, когда он прокручивает свою ленту».

Кажется, что приложение FB для Android не делает таких же усилий с видео — или, если это происходит на Android, оно лучше скрывает свое скрытое поведение. Если это происходит только на iOS, это может означать, что это действительно может быть просто несчастным случаем. Иначе почему бы FB не сделал этого для обеих версий своего приложения?

Что касается уязвимости iOS — обратите внимание, что Розен не сказал, что глюк был исправлен, и даже не пообещал, когда он будет исправлен — похоже, это зависит от конкретной версии iOS. Из отчета TNW: «Маддакс добавляет, что он обнаружил ту же проблему на пяти устройствах iPhone под управлением iOS 13.2.2, но не смог воспроизвести ее на iOS 12. «Отмечу, что iPhone под управлением iOS 12 не показывает камеру, а сказать, что он не используется», — сказал он. [TNW’s] попытки. [Although] iPhone под управлением iOS 13.2.2 действительно показывает, что камера активно работает в фоновом режиме, проблема не затрагивает iOS 13.1.3. Мы также заметили, что проблема возникает только в том случае, если вы предоставили приложению Facebook доступ к своей камере. Если нет, похоже, что приложение Facebook пытается получить к нему доступ, но iOS блокирует эту попытку».

Как редко бывает, что безопасность iOS действительно помогает, но здесь, похоже, дело обстоит именно так.

Однако взгляд на это с точки зрения безопасности и соответствия требованиям сводит с ума. Независимо от намерений Facebook, ситуация позволяет видеокамере на телефоне или планшете ожить в любой момент и начать захватывать то, что происходит на экране и где расположены пальцы. Что, если в этот момент сотрудник работает над сверхсекретным меморандумом о приобретении? Очевидная проблема заключается в том, что произойдет, если Facebook будет взломан, и этот конкретный сегмент видео окажется в даркнете для покупки ворами? Хотите попробовать объяснить своему директору по информационной безопасности, генеральному директору или совету директоров?

Хуже того, что, если это не случай нарушения безопасности Facebook? Что, если вор перехватит сообщения, которые передаются с телефона вашего сотрудника на Facebook? Можно надеяться, что безопасность Facebook достаточно надежна, но такая ситуация позволяет перехватывать данные в пути.

Другой сценарий: что делать, если мобильное устройство украдут? Допустим, сотрудник правильно создал документ на корпоративном сервере, доступ к которому осуществляется через хороший VPN. Снимая данные на видео во время набора текста, он обходит все механизмы безопасности. Теперь вор потенциально может получить доступ к этому видео, которое предлагает изображения записки.

Что, если этот сотрудник загрузил вирус, который делит все содержимое телефона с вором? Опять данные отсутствуют.

Должен быть способ, чтобы телефон всегда выдавал предупреждение всякий раз, когда приложение пытается получить доступ, и способ отключить его до того, как это произойдет. До тех пор директора по информационной безопасности вряд ли будут спать спокойно.

В случае с ошибкой Android, помимо очень непослушного доступа к телефону, проблема совсем другая. Исследователи безопасности из CheckMarx опубликовали отчет, в котором ясно показано, как злоумышленники могут обойти механизмы безопасности и завладеть камерой по своему желанию.

«После подробного анализа приложения Google Camera наша команда обнаружила, что, манипулируя определенными действиями и намерениями, злоумышленник может управлять приложением, чтобы делать фотографии и/или записывать видео через мошенническое приложение, у которого нет на это разрешений. Кроме того, мы обнаружили, что определенные сценарии атак позволяют злоумышленникам обходить различные политики разрешений на хранение, предоставляя им доступ к сохраненным видео и фотографиям, а также к метаданным GPS, встроенным в фотографии, чтобы определить местонахождение пользователя, сделав фото или видео и проанализировав соответствующие данные EXIF. «Этот же метод также применялся к приложению Samsung Camera», — говорится в отчете. «При этом наши исследователи определили способ, позволяющий мошенническому приложению заставить приложения камеры делать фотографии и записывать видео, даже если телефон заблокирован или экран выключен. Наши исследователи могли сделать то же самое, даже когда пользователь был в середине голосового вызова».

В отчете подробно рассматриваются особенности подхода к атаке.

«Известно, что приложения камеры Android обычно хранят свои фотографии и видео на SD-карте. Поскольку фотографии и видео являются конфиденциальной пользовательской информацией, для того, чтобы приложение могло получить к ним доступ, ему нужны специальные разрешения: К сожалению, разрешения на хранение очень широки. и эти разрешения дают доступ к . Существует большое количество приложений с законными вариантами использования, которые запрашивают доступ к этому хранилищу, но не имеют особого интереса к фотографиям или видео. На самом деле, это одно из наиболее часто запрашиваемых разрешений. Это означает, что мошенническое приложение может делать фотографии и/или видео без определенных разрешений камеры, и ему нужны только разрешения на хранение, чтобы сделать шаг вперед и получить фотографии и видео после съемки.Кроме того, если местоположение включено в камеры, мошенническое приложение также имеет способ доступа к текущему GPS-положению телефона и пользователя», — отмечается в отчете. «Конечно, видео также содержит звук. Было интересно доказать, что видео может быть запущено во время голосового вызова. Мы могли легко записывать голос получателя во время разговора, а также могли записывать голос звонящего».

И да, дополнительные подробности делают это еще более пугающим: «Когда клиент запускает приложение, он, по сути, создает постоянное обратное соединение с C&C-сервером и ждет команд и инструкций от злоумышленника, который управляет консолью C&C-сервера из любой точки мира. мир. Даже закрытие приложения не прерывает постоянное соединение».

Короче говоря, эти два инцидента иллюстрируют поразительные дыры в безопасности и конфиденциальности в огромном проценте современных смартфонов. Принадлежит ли ИТ-отделу эти телефоны или устройства BYOD (принадлежит сотруднику), здесь не имеет большого значения. созданные на этом устройстве, могут быть легко украдены. А учитывая, что быстро растущий процент всех корпоративных данных перемещается на мобильные устройства, это нужно исправлять и исправлять еще вчера.

Если Google и Apple не исправят это — учитывая, что это вряд ли повлияет на продажи, поскольку и iOS, и Android имеют эти дыры, ни у Google, ни у Apple нет большого финансового стимула действовать быстро — директора по информационной безопасности должны рассмотреть возможность прямого действия. Создание собственного приложения (или убеждение крупного независимого поставщика программного обеспечения сделать это для всех), которое будет налагать свои собственные ограничения, может быть единственным жизнеспособным путем.

Авторское право © 2019 IDG Communications, Inc.