Facebook的iOS错误'秘密拍摄了用户。它,注意。
上周新闻报道 - 随后由Facebook执行的推文确认 - Facebook iOS应用程序在没有通知的录像机中,应该作为企业IT的重要呼号和安全设备每一位作为风险的安全性,因为他们担心的每位都是风险的。由网络塞维斯种植的突然种植的非常不同的虫子,甚至可以使用Android提供更可怕的相机间谍问题。
在iOS问题上,来自罗森的家伙的确认推文,谁是Facebook的诚信副总裁(前进并插入你想要的任何笑话,你想要的任何笑话都有关于Facebook的副总统诚信;对我来说,它的方式太容易了)说:“我们最近发现了我们的IOS应用程序在景观中不正确。在v246上周的定影中,我们无意中引入了一个错误,其中应用程序点击时的应用程序部分导航到相机屏幕。由于此,我们没有上传照片/视频的证据。“
如果我不立即接受这种拍摄是错误的,请原谅我,而Facebook也没有证据表明正在上传的任何照片/视频。当坦诚的隐私移动和他们背后的真实意图时,Facebook高管“追踪记录”是伟大的。从本月早些时候考虑该路透社的故事,其中引用了法院文件,即“Facebook开始从2012年开始向应用程序开发商的访问权限,以迎合潜在的竞争对手,同时向公众作为用户隐私的呼动们作为福音。”当然,谁能忘记剑桥分析?
但在这种情况下,意图是无关紧要的。这种情况仅仅是一个提醒,如果没有人足够重视,那就可以做些什么。
根据下一个Web(TNW)的事件完整的摘要,这是发生的事情:“由于屏幕左侧的左侧的微小条子中的错误,当您在应用程序中打开照片并向下滑动时,问题变得显而易见。此后,TNW能够独立重现问题。“
这一切都开始了当一个名为Joshua Maddux的iOS Facebaook用户发出了他可怕的发现。“在他分享的镜头中,你可以在他通过他的饲料滚动时积极地在背景中积极地工作。”
似乎虽然Android的FB应用程序不做同样的视频工作 - 或者,如果它确实发生在Android上,它会更好地隐藏其隐秘的行为。如果是这种情况,这只发生在iOS上,这将表明它确实是一个事故。否则,为什么WON“T FB为其应用程序的两个版本完成了它?
至于iOS漏洞 - 请注意,罗森没有说故障是固定的甚至承诺,似乎取决于特定的iOS版本。来自TNW报告:“Maddux在运行iOS 13.2.2运行的五个iPhone设备上发现了同样的问题,但无法在iOS 12上重现它。“我会注意到运行iOS 12的iPhone不显示相机,而不是说它没有被使用,”他说。调查结果与[TNW“的尝试一致。[虽然] IOS 13.2.2的iPhone确实显示了积极工作在后台的相机,问题似乎不会影响iOS 13.1.3。我们进一步注意到,只有在给您对相机的Facebook应用程序访问时才会出现此问题。如果没有,它看起来看起来可以访问它,但iOS阻止尝试。“
如何罕见iOS安全实际上通过并有助于,但这里似乎是这种情况。
尽管如此,从安全性和合规性角度看这一点是疯狂的。无论Facebook的意图在这里,情况都在允许手机或平板电脑上的视频制域在任何时候都活着,并开始捕获屏幕上的内容以及指状物的位置。如果员工正在努力在那一刻的超敏感的收购备忘录,怎么办?显而易见的问题是如果Facebook被违反,那么特定的视频段在黑暗的Web上蜿蜒购买盗贼购买?想尝试向您的CISO,CEO或董事会解释这一点吗?
更糟糕的是,如果这不是Facebook安全漏洞的实例,怎么办?如果小偷嗅到员工的手机到Facebook,那么怎么办?人们可以希望Facebook安全性相当强大,但这种情况允许截取的数据veroute。
另一种情况:如果移动设备被盗怎么办?让“s表示,员工在通过良好VPN访问的公司服务器上正确创建了文档。通过在键入时捕获数据,它绕过所有安全机制。小偷现在可以访问该视频,该视频提供备忘录的图像。
如果该员工下载了一个与小偷共享所有电话内容的病毒怎么办?同样,数据已经出局了。
每当App尝试访问并在发生之前将关闭它关闭时,需要一种方法可以让手机始终闪烁警报。在此之前,Cisos不太可能睡得很好。
在Android Bug上,除了以高度淘气的方式访问手机,问题非常不同。CheckMarx的安全研究人员发布了一份报告,该报告使攻击者能够满足所有安全机制,并随意接管相机。
“在对Google Camera应用程序进行详细分析后,我们的团队发现,通过操纵特定的操作和意图,攻击者可以控制应用程序通过没有权限的流氓应用程序拍摄照片和/或记录视频。此外,我们发现某些攻击方案使恶意演员能够规避各种存储权限策略,使他们能够访问存储的视频和照片,以及嵌入照片中的GPS元数据,以通过拍摄照片或视频来定位用户并解析用户报告称,exif数据也适用于三星的相机应用程序。“在这样做时,我们的研究人员确定了一种方法来使rogue应用程序能够强制相机应用程序拍摄照片和录制视频,即使手机被锁定或屏幕关闭。即使用户在语音电话中间,我们的研究人员也可以做到这一点。“
报告钻取攻击方法的具体情况。
“众所周知,Android相机应用程序通常在SD卡上存储他们的照片和视频。由于照片和视频是敏感的用户信息,以便应用于访问它们,因此它需要特殊的权限:存储权限。不幸的是,存储权限非常广泛,这些权限可以访问整个SD卡。有大量的应用程序,具有合法使用情况,请求访问此存储,但对照片或视频没有特别兴趣。事实上,它是观察到的最常见的请求权限之一。这意味着Rogue应用程序可以在没有特定的相机权限的情况下拍摄照片和/或视频,并且只需要存储权限,以便在拍摄后进一步逐步获取一步并获取照片和视频。此外,如果在相机应用程序中启用了位置,则Rogue应用程序还具有访问当前的电话和用户的GPS位置的方法,“报告指出。“当然,视频也包含声音。有趣的是证明在语音通话期间可以启动视频。我们可以在通话期间轻松录制接收器的声音,我们也可以录制呼叫者的声音。“
是的,更多细节使这更可怕:“当客户端启动应用程序时,它基本上创建了持久连接回到C&C服务器,等待攻击者的命令和指令,该命令和指令从世界任何地方操作C&C服务器的控制台。甚至关闭应用程序不会终止持久连接。“
简而言之,这两个事件在今天的智能手机占巨大百分比中说明了令人惊叹的安全和隐私漏洞。无论是拥有这些手机还是设备都是BYOD(由员工拥有)在这里有很少的差异。在该设备上创建的任何东西都可以很容易地窃取。并且鉴于所有企业数据的迅速增加的百分比正在移动到移动设备,这需要昨天修复和修复。
如果谷歌和苹果赢得了“t”它 - 鉴于它不太可能影响销售,因为iOS和Android都有这些漏洞,谷歌和苹果公司都没有太多的财务激励,迅速行动 - Cisos必须考虑直接行动。创建商业知识的应用程序(或令人信服为每个人做出令人信服),这将赋予自己的限制可能是唯一可行的路线。