Может ли мое устройство Android стать - удаленно и без моего разрешения - прослушиванием телефонных разговоров и использоваться в качестве устройства наблюдения?

13

Я видел следующую статью :

В статье, опубликованной в Financial Times в прошлом году, говорится, что операторы мобильной связи могут «удаленно установить программное обеспечение на любой телефон без ведома владельца, что активирует микрофон, даже если его владелец не звонит.

Возможно ли это на одном телефоне Android и есть ли способ его заблокировать?

Casebash
источник

Ответы:

11

Ааа, Шнайер по безопасности, Unvy Gb Gur Xvat. :-)

ТЛ; др

Это может быть возможно, никто не может сказать наверняка. И так как никто не знает, возможно ли это, вы не можете заблокировать это, потому что вы не знаете, что и, следовательно, как блокировать.

Но сначала давайте использовать исследование, исследуем утверждение шаг за шагом:

Обратите внимание, что статья с 2006 года

... упомянутые операторы мобильной связи могут ...

Google, безусловно, может сделать это, если вы используете устройство с включенными сервисами Google (обычно те, что с «by Google» на спине). Но в основном каждый производитель аппаратного / программного обеспечения, чьи части размещены в смартфоне (или традиционном мобильном телефоне), может устанавливать в своих продуктах черные ходы, которые могут использоваться сторонними лицами для манипулирования устройством. Либо потому, что они купили этот доступ, либо потому, что производитель вынужден, например, по (секретному) правительственному постановлению.

... "удаленно установить часть программного обеспечения на любой телефон, ..

Это возможно, и каждый раз, когда вы устанавливаете приложение через веб-интерфейс Play Store, вы используете эту технику.

... без ведома владельца, ..

Обычно вы увидите визуальный отзыв о процессе установки, по крайней мере, до его запуска. Но уведомление о новом приложении остается в панели уведомлений. Но никто не может исключить, что существует метод установки без вывода сообщений.

... который активирует микрофон, даже если его владелец не звонит ...

Приложения Android могут активировать микрофон, если у них есть разрешение на это. Но если приложение поставляется с методом автоматической установки, кто знает, было ли также предоставлено разрешение для микрофона?

А теперь, как я могу защитить свою конфиденциальность?

Как только вы купите аппаратное / программное обеспечение, не имея возможности проверить аппаратные и программные компоненты для бэкдора наблюдения, вы потеряетесь.

Но есть альтернативы. Были попытки создать аппаратное и программное обеспечение с открытым исходным кодом для смартфонов. Поэтому позволяет вам просматривать компоненты для нежелательных модулей. См. Например, Опоенмоко .

поток
источник
Я был бы намного более обеспокоен некоторым бэкдором в прошивке радио. Получает смс и бам! Ваш микрофон ведомый.
RR
@RichardBorcsik Я где-нибудь исключил прошивку радио в своем ответе? :-)
поток
1
Нет, это просто не упоминалось, хотя это гораздо более реалистичная угроза, чем Google, тайно шпионящий за нами. Они делают это публично :)
RR
@RichardBorcsik Только что отредактировал мой пост, чтобы понять, что Google не единственный, кто участвует.
поток
2
Приведенный выше ответ относится не только к телефонам на платформе Android, но и практически ко всем частям проприетарного подключенного оборудования. ПК, маршрутизаторы, брандмауэры и другие устройства, которые могут подключаться к Интернету, потенциально могут быть подходом для атаки.
Чахк
6

Чтобы ответить на этот вопрос:

Возможно ли это на одном телефоне Android и есть ли способ его заблокировать?

Недавно, еще в начале этого года, возникло недовольство небольшим программным обеспечением, которое было спрятано в некоторых телефонах и способно контролировать все - печально известный Carrier-IQ . Немного о Carrier-IQ, как указано в википедии

Он обеспечивает диагностический анализ смартфонов для индустрии беспроводной связи. Компания утверждает, что ее программное обеспечение развернуто на более чем 150 миллионах устройств по всему миру.

Дело в том, что никто точно не знает наверняка, действительно ли они это сделали, поскольку мир безопасности «взволнован» этим и начал бросаться в глаза производителям - Apple, HTC, Samsung, Sony и многие другие. И разоблачил хитрость, стоящую за этим, внезапно, что шумиха проникла в мир Android, и угадай, что случилось - приложение появилось в магазине Google Play, детектор Carrier-IQ .

Что я подчеркивал, так это то, как паранойя проникла в нормы человеческих эмоций - да, многие люди были действительно безумны и требовали знать - было ли нарушение конфиденциальности?

Кстати, если вы посмотрите на основной сайт Carrier-IQ здесь , есть тикер, в котором говорится, что на данный момент развернуто 147 918 175 мобильных телефонов .... (Хорошо, я не совсем уверен, что они используют этот тикер, но сомнительно, что в википедии было заявлено, что оно " развернуто на более чем 150 миллионах устройств ", черт возьми, это даже не там !!!)

Да, вполне возможно, что существуют задние двери для подобных вещей, и они обычно ассоциируются со стандартными ПЗУ прямо с завода! У Zte был один, и о нем недавно сообщили, и он общедоступен на pastebin . Ради исторической информации я процитирую ее здесь на случай, если она потеряется.

ZTE Score M - это телефон Android 2.3.4 (Gingerbread), доступный в Соединенных Штатах на MetroPCS, разработанный китайской компанией ZTE Corporation.

В каталоге / system / bin / sync_agent есть приложение setuid-root, которое не выполняет никаких функций, кроме того, что обеспечивает заднюю дверь корневой оболочки на устройстве. Просто дайте волшебный, жестко запрограммированный пароль, чтобы получить корневую оболочку:

$ sync_agent ztex1609523

id uid = 0 (root) gid = 0 (root)

Хороший черный ход, ZTE.

Это показывает одну вещь и одну вещь, стоковые диски! Слишком часто люди могут быть наивными, думая, что только потому, что это «Stock ROM», он делает свою работу.

Теперь, чтобы не вызывать у кого-либо страха или паранойи, что я, конечно же, не хотел бы делать, полезно иметь прохладные собранные мысли по этому поводу.

Доза реальности придет домой, как только вы поймете, что пользовательские ПЗУ имеют большее преимущество по сравнению со стандартными ПЗУ, они скомпилированы из исходного кода и являются общедоступными, такими как CyanogenMod, AOSP, CAF, AOKP; будьте уверены, вы будете в равной степени лучше с этими ПЗУ в долгосрочной перспективе.

Почему? По большей части эти пользовательские ПЗУ будут в любом случае укоренены, что позволит вам, как пользователю, жестко контролировать телефон так, как вы этого хотите , а не какой-нибудь необычный шкурный скин поверх ПЗУ, такой как HTC Sense, Samsung TouchWiz, Sony TimeScape и т. Д. И если разработчик упомянутого ПЗУ верит, что он хороший, то есть хороший отзыв сообщества, то да, вы были бы в полной безопасности.

То, что вы можете сделать, чтобы подтвердить уверенность в том, что пользовательское ПЗУ лучше, чем на складе, в любой день, так это, зная, что ПЗУ укоренено, вы можете использовать Droidwall / Hi-Surfing или другой тип брандмауэра, чтобы заблокировать доступ к этим "подлые" приложения, как это. Это обеспечит определенный уровень уверенности, но, сказав это, речь идет не о том, чтобы оправдать, почему во-первых иметь рутованное ПЗУ, а о том, чтобы дать себе возможность пользоваться телефоном и использовать его так, как вы хотите. Если вам не нравится приложение, удалите его, если приложение требует root - пусть будет так.

Это заставляет задуматься и задуматься над тем, почему операторы предпочитают, чтобы вы застряли со стандартным ПЗУ и заблокированным загрузчиком, т. Е. «Рутирование приведет к аннулированию гарантии», «разблокируйте загрузчик - вы по своему усмотрению» , но всегда есть две стороны одной и той же монеты, и если кто-то может достать трубку и разблокировать загрузчик, он просто сбросит настройки и уничтожит данные при разблокировке и перезагрузке!

Таким образом, вы можете видеть, как, с точки зрения безопасности, что происходит и какие решения принимаются. Я знаю, что когда я делал ROM для Zte Blade, я полагал, что в источнике нет вредоносного кода, ну, он исходил из источника AOSP на Google и да, он укоренился, и отзывы пользователей хорошие.

В том, что было сказано, много размышлений, и да, такие вещи могут быть заблокированы - если вы хотите быть действительно безопасным - заблокируйте следующее в Droidwall здесь,

  • Менеджер загрузок, Загрузки, DRM-защищенное хранилище контента, Media Storage.
  • Google Services Framework, расположение в сети, синхронизация Календаря Google, синхронизация контактов Google.
  • И, наконец, также заблокируйте ядро ​​Linux.

При выбранных критериях вы, скорее всего, не сможете загружать и синхронизировать удаленно. Кроме того, обратите внимание на разрешения, которые запрашивает приложение в магазине Google Play, будьте осторожны, и вам нечего бояться.

t0mm13b
источник
4

Технически это возможно. Вы можете визуализировать его с помощью сцены Play Store: Play Store может автоматически устанавливать (при отправке сигнала из веб-интерфейса) и обновлять приложения без ведома владельца.

Мобильные провайдеры также могут делать это до тех пор, пока их троянское приложение поставляется с устройством. Они могут нажать и установить приложение, чтобы слушать ваши голоса.

Как это заблокировать?

  • Рутируйте свое устройство и выслеживайте все приложения от мобильных операторов, которые могут делать такие неприятные вещи. Гугл может помочь. Либо удалите их из системы, либо заблокируйте их доступ к Интернету с помощью брандмауэра (в Play Store есть много приложений брандмауэра).

  • Прошивка свежего нового пользовательского ROM, такого как CyanogenMod и т. Д.

Android Quesito
источник
3

Да. CarrierIQ, Smithlogger, HTC Logger и несколько других устройств устанавливаются на устройство операторами.

айфоны застряли с CIQ, и это не что иное, как простое заблуждение, которого там нет, или что они могут от него избавиться, хотя на самом деле они не могут

Тем не менее, вы можете получить это , что более полезно, если у вас есть права root, но даже без корневых привилегий, оно может указать вам на экран отказа для любой службы регистрации, которая может быть на вашем телефоне.

Кроме того, все эти новости говорят о вредоносном ПО на Android, что это чепуха. Вы должны установить указанное «вредоносное ПО», но «вредоносное ПО» едва существует. До тех пор, пока вы обращаете внимание на то, какие разрешения имеет каждое устанавливаемое приложение, у вас нет шансов, что кто-то из ваших телефонов будет шпионить за вами.

гт-Ванда
источник
0

Это возможно на одном телефоне Android

Да! Можно удаленно устанавливать приложения на телефон Android без вашего согласия. Большинство устройств уязвимы для атак из-за уязвимостей, обнаруженных в базовой платформе Android.

Например, уязвимость Stagefright, обнаруженная еще в июле 2015 года, подвергает опасности около 95% всех устройств Android. Эта уязвимость активируется, когда Android обрабатывает искаженные мультимедийные файлы на устройстве. Например, искаженное изображение, полученное вами в виде MMS, может вызвать уязвимость Stagefright.

Проверьте демо https://www.youtube.com/watch?v=7S-11k28324

есть ли способ заблокировать это?

  1. Не нажимайте на ссылки, полученные от людей, которых вы не знаете.

  2. Установите антивирусный сканер и обновляйте его.

  3. Не оставляйте свой телефон без присмотра. Всегда держите телефон заблокированным PIN-кодом или рисунком

Источник: goo.gl/rHhMNH

kakopappa
источник