![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
holydiver_777) wrote2015-07-11 08:13 am
Уязвимость, позволяющая прослушивать смартфоны Samsung.
В смартфонах Samsung обнаружена серьезная уязвимость, которая дает потенциальным злоумышленникам возможность прослушивать телефонные разговоры. Обнаружил эту уязвимость Райан Уэлтон из NowSecure, причем еще в ноябре 2014 года, Тогда же о ней сообщили компании Samsung, команде по безопасности Android и CERT. Но, как заметил Райан, выступая на днях в Лондоне на конференции Blackhat Security Summit, уязвимость до сих пор не устранили.
В зоне риска находятся около 600 млн устройств, включая Galaxy S6, Galaxy S5, Galaxy S4, Galaxy S4 Mini, Galaxy Note 3 и 4. Уэлтон во время конференции проверил Samsung Galaxy S6 и заявил, что ему удалось воссоздать атаку.
Обязательным условием для ее проведения является предустановленное на смартфон приложение SwiftKey. Угроза появляется, когда приложение начнет обновлять языковые пакеты к примеру, в публичной Wi-Fi-сети, созданной злоумышленником. Это даст киберпреступнику доступ на системном уровне практически ко всем функциям телефона: контактам, фото, сенсорам и датчикам и, в том числе, прослушиванию входящих и исходящих звонков.
По версии разработчиков SwiftKey, которую они озвучили TechCrunch, вина — полностью на Samsung, так как они неправильно использовали Swiftkey SDK, работая над своей клавиатурой. С другой стороны, программа SwiftKey использует незашифрованный http вместо https, что помогло бы закрыть «дыру» в безопасности. Проблема в том, что пользователь не может самостоятельно удалить дефолтную клавиатуру SwiftKey, а уязвимость существует независимо от того, запущено ли приложение в данный момент. Так что, пока Samsung не выпустит для нее патч, пользователям смартфонов этого бренда следует быть осторожными с публичными сетями.
Подробное техническое описание уязвимости с примерами исполняемых файлов можно посмотреть в блоге NowSecure. Есть также видео, описывающее, как именно можно ее использовать:
no subject
no subject
no subject
Тогда мне пох.
no subject
no subject
Отсюда и цены на Самсунги в нашей стране стали резко соблазнительными.
Отчего-то вдруг.
На самом же деле куда большую опасность представляет сам факт наличия сети в зоне АТО и безалаберное использование ее бойцами ВСУ.
Российские хакеры, давно уже работающие под колпаком ФСБ, открыто писали теоретические статьи о статистических методах отслеживания номеров просто путем локации девайсов в течение некоторого промежутка времени, скажем - недели-двух.
В этом случае даже прослушивать не нужно, все и так ясно. Десяток мобилок - взвод, сотня - рота и т.д.
Акционеры наших мобильных сетей - кто они?! - Вот именно.
Ну и на закуску пример самого отчаянного идиотизма - это когда группа спецназа пробиралась куда-то там на внедорожнике и по ходу решила обновить карты для своего нового супер-пупер GPS. Через мобильный интернет, ага. Тут же положили всех.
no subject
Задачка значительно облегчается...
no subject
Хотя, будь моя воля, я бы начинала с депутатов - рыба гниет с головы.
Такие решения нужны, чтоб немедленно срабатывали, а они в этом плане только морды друг другу бить на публике горазды.
no subject
Ура! У меня Nokia 5110, с неё и пишу. :O У сына S3. :-) Если его переписку вскроют - прозреют.
no subject
no subject
Но! Там сохранились полезные функции, от будильника и плеера до запуска приложений. Ну и запихнула я туда блютуз-хак. Старый какой-то, лет семь тому на коленке сделанный. Чиста скуки ради.
На майские еду автобусом, битком набитым студентами и школьниками, задняя площадка. У каждого по навороченному девайсу, ага :) Тихо бузят (покрасоваться перед восьмиклассницами ) какие-то пацаны из "Рыбки" (бурса морская, рыболовная). Тельняшки, бушлаты, прыщи... Школьницы класса от пятого по седьмой окунаются в свои девайсы, им это скучно, пока еще :) ...
Тихонько включаю скан блютуза. Через минуту - есть! Пяток девайсов, имена машинок, состояние ... некоторые сидят в сети непрерывно...
Показываю свой экранчик парочке сестричек-семиклассниц, у которых одно место на двоих и один крупный девайс, вроде айпада. Машинка называется "Муся и Маня" :)
Дальше один за другим происходит несколько аналогичных диалогов :
- Это вы?
- Не, не, что вы!
Через тридцать секунд имена машинок исчезают с моего экранчика.
Проходит пять минут. Включаю скан еще раз. Появляется еще несколько машинок, уже с другими именами и у других детей. Ситуевина повторяется.
И так всю дорогу, два часа подряд. :)
Как сумела, провела воспитательную работу. Не стала говорить про педофилов и террористов - дети и сами все это уже знают. Но перспективка что какой-нибудь идиот может спокойно отследить, куда они лазят в сети, а при совпадении типов девайсов - еще и стащить контакты машинки, не спрашивая их хозяев, никого особо не вдохновляла, понятно.
ЗЫ. Включен блютуз не был почти ни у кого, да. Достаточно его наличия как такового в функциях девайса.
...А вы говорите - Галакси, Галакси. Тьфу! Эти дебилы, которых набирают в свои команды разработчики, тем только и заняты чтоб оставить побольше черных ходов в софте, наркота обкуренная!..
no subject
no subject
То, что Вы описали, это развлечение. Максимальная неприятность, которая может произойти, это потеря денег при краже пинов от банковских счетов. Те, кто держит такую информацию в тел. и на компе, прекрасно осознают степень риска, а значит включается формула "сам дурак". Всё остальное, как то: приватная переписка, разговоры, информация и т.п. это ни кого особо не интересует.
А вот то, что наличие оставленных "черных ходов в софте" может помочь в выявлении террористов, преступников, например в расследовании крушения МН-17 (помните переговоры сепаров со Стрелком), так это для меня важнее, чем то, что кто-то узнает моё мнение по поводу размера задницы его жены. Это я как нибудь переживу. :-))