Tehnografi.com - Технологические новости, обзоры и советы

5 истинных выводов из цирка уязвимости камеры Android

Я не знаю, много ли вы читали новостей на этой неделе, но кажется, что небо падает, и мы все ужасно обречены.

Нет, я говорю не о новостях — как обычно, это отдельная колонка для другой публикации — а скорее о новостях о том, что уязвимость в безопасности некоторых приложений для камеры Android может превратить наши телефоны в шпионские порталы, грабящие конфиденциальность, и положить конец человеческой жизни. как мы это знаем.

Я имею в виду, у вас есть некоторые из этих заголовков?!

  • «Сотни миллионов камер телефонов Android могут быть захвачены шпионским ПО»
  • «Уязвимость Android позволяет мошенническим приложениям делать фотографии и записывать видео, даже если ваш телефон заблокирован»
  • «Недостаток Android позволяет приложениям тайно получать доступ к камерам людей и загружать видео на внешний сервер»
  • Святые гибискусы, Генри! Даже дрожу от всего этого, и я – это кучка дезинформированных, сенсационных херней.

    Давайте на секунду вернемся назад и представим все это в контексте: компания Checkmarx (можно догадаться, как она зарабатывает деньги) на этой неделе опубликовала отчет с подробным описанием уязвимости, обнаруженной в некоторых приложениях для камер производителей Android-устройств. Эта слабость позволила исследователям фирмы создать приложение, которое могло снимать и собирать фотографии с телефона без согласия его владельца. И да, эта уязвимость затронула сотни миллионов людей.

    Однако, как обычно в таких историях, есть несколько больших, сочных но. И эти обширные, блестящие «но» являются ключом к пониманию того, что на самом деле говорит нам эта история, что мы должны вынести из нее и, что особенно важно, почему мы прячемся в тщательно закрытых бункерах до дальнейшего уведомления.

    Давайте сломаем это, не так ли?

    1. Приложение, стоящее в центре всего этого, было созданием для проверки концепции, без какой-либо известной реализации в реальном мире.

    Прежде чем запачкать свои красивые штаны, вспомните, прежде всего, что все это было делом рук охранной компании — действия исследователей, активно ищущих уязвимость, чтобы эксплуатировать ее и, знаете, использовать для продвижения собственного продукта (забавно, как всегда получается, не так ли?).

    Насколько известно, это не было фактическим актом кражи данных в реальном мире.

    2. Кроме того, установка потребовала бы от вас загрузки и установки случайного (теоретического) приложения для работы.

    Это не та ситуация, когда ваш телефон вдруг начнет выдавать личные фотографии на какой-нибудь случайный сервер в Каспийском море. (Эти морские серверы-русалки — худшие, не так ли?) Уязвимость в приложениях камеры можно было использовать только путем тщательных манипуляций, проводимых приложением — что-то специально созданное для этой цели, и что-то, что вам нужно было бы сделать. ваш способ загрузить и установить, прежде чем он может нанести какой-либо ущерб.

    Такого приложения никогда не существовало, если не считать этого контролируемого эксперимента. И даже если это было, опять же, .

    3. Об уязвимости было сообщено в Google и Samsung, которые оперативно исправили ошибку.

    Обнаружив эту колючую дикобразную проблему, приятели Checkmarx передали кучу гуляша в Google, а вскоре после этого и в Samsung, поскольку было обнаружено, что приложение камеры также было затронуто. Обе компании работали над исправлением рассматриваемого кода и с тех пор, как сообщается, выпустили исправления для устранения уязвимости.

    Что касается того, что затронуты «сотни миллионов» телефонов? Да, это имелось в виду телефоны Samsung, которые, опять же, . Вопреки тому, что предлагают некоторые ленивые, сенсационные заголовки, нет ничего, что указывало бы на то, что сотни миллионов людей каким-либо образом активно рискуют из-за этого.

    4. Именно так безопасность должна заставлять программное обеспечение развиваться.

    Любое программное обеспечение — настольные операционные системы, мобильные операционные системы, приложения на любой платформе, что угодно — по своей сути несовершенно. Такова природа зверя; уязвимости будут появляться всегда, независимо от того, контролируется ли программное обеспечение Google, Samsung, Apple или кем-то еще.

    Собственно, именно поэтому так много компаний активно ищут, а иногда даже и людей, охотятся за недостатками безопасности в своем программном обеспечении, чтобы найти их, исправить и продолжить улучшать свои программы. (На самом деле Google делает именно это сегодня, с только что объявленным расширением своей программы Android Security Rewards, теперь с максимальным призом в 1,5 миллиона долларов для каждого, кто обнаружит особенно проблемную ошибку.) Это бесконечная эволюция, и это та же самая история для Google, как и для любой крупной компании-разработчика программного обеспечения.

    Что в конечном счете имеет значение, так это то, что рассматриваемая компания выявляет проблемы, а затем оперативно исправляет их — в идеале до того, как будет нанесен какой-либо реальный ущерб. И это именно то, что мы видим в этом сценарии.

    5. Это напоминание о том, почему важны своевременные обновления и почему вам не следует использовать телефоны компаний, которые их не предоставляют.

    В то время как Google и особенно Samsung были названы основными источниками беспокойства в связи с этой проблемой, Checkmarx говорит, что обнаруженные ею уязвимости могут потенциально повлиять на приложения камеры на устройствах других производителей телефонов, и что «связались с несколькими поставщиками» с той же информацией. чем месяц назад.

    Теперь еще раз вспомните, о чем мы только что говорили: нет причин полагать, что телефон находится в какой-либо непосредственной, реальной опасности из-за этого. Но, очевидно, это не та уязвимость — теоретическая и требующая загрузки, — которую вы хотели бы оставить на своей личной технологии.

    Больше всего на свете это служит убедительным напоминанием о том, насколько важно иметь телефон, производитель которого действительно серьезно относится к безопасности и рассылает своевременные обновления не только в подобных ситуациях, связанных с конкретными приложениями, но и когда речь идет об Android. ежемесячные исправления, которые устраняют аналогичные недостатки на системном уровне, обновления ОС Android, которые включают бесчисленные улучшения конфиденциальности и безопасности и представляют собой нечто большее, чем просто свежая краска и функции.

    Если вы не используете телефон, производитель которого последовательно обеспечивает все эти преимущества (и, будем честными, не так много производителей устройств делают это), вы соглашаетесь на менее чем оптимальную безопасность взамен. для чего? Может быть, какое-то роскошное оборудование или торговая марка, которую вы купили раньше? И, как всегда, трудно понять, насколько это целесообразно, особенно когда отличные удобные для обновления варианты легко доступны всего за несколько сотен долларов.

    Но, тем не менее, все в перспективе: небо не падает, Цыпленок Цыпленок — и какие бы захватывающие зрелища вы ни увидели через объектив камеры вашего телефона, по всей вероятности, тайно не записываются и не делятся с какими-либо потенциальными вуайеристами, жаждущими взгляд.

    Немного критического мышления и несколько простых вопросов имеют большое значение, когда дело доходит до преодоления мелодраматической шумихи в заголовках в подобных ситуациях. И, как напоминает нам этот последний foofaraw, редко бывает повод для паники — независимо от того, насколько сенсационным может казаться испуг поначалу.

    Подпишитесь на мой еженедельный информационный бюллетень, чтобы получать больше практических советов, личных рекомендаций и простого взгляда на важные новости.

    Информационный бюллетень ИИ

    [Android Intelligence videos at Computerworld]

    Авторское право © 2019 IDG Communications, Inc.