ANDROID МОЖЕТ СЛЕДИТЬ ЗА НАМИ ???

 

Всем привет, сегодня мне удалось пообщаться с Android разработчиком и провести интервью!

Поскольку наш разработчик решил говорить анонимно, его контактных данных я вам не дам.

Вместо этого он написал окно для android, выводящее надпись example. Мы сделали скриншот кода в качестве доказательства, что это не фейк. Весь код слишком прямоугольный, поэтому я обрезал его до квадрата))

Поехали!

1. Первый вопрос наверно больше по безопасности, насколько android безопасен? К чему чёрный разработчик может получить доступ?

Вот например, мы сидим в telegram, telegram имеет облачные чаты (то есть они с сервера загружаются - ред.) исходный код серверов закрыт.
Может ли telegram записывать втихую, допустим, видео и микрофон?
Достать геолокацию с отключенным GPS через VPN/SOCKS ?

- Если ты запретил программе доступ к микрофону - она никак не сможет просто так его задействовать (считаем что состояние телефона стоковое, загрузчик заблокирован и root нет).

Геолокацию с отключенным GPS и без разрешения в настройках достать тоже нельзя, но все программы которые имеют доступ в интернет могут получить его по IP адресу (местоположение примерное, в рамках города)

(root - это пользователь, имеющий больше всего прав в системе, от его прав можно взаимодействовать с системой и иметь возможность намного большего взаимодействия с ОС - ред.)

2. А если мы используем VPN и активировали GPS, то, получается GPS упаковывается и отправляется по интернету, допустим в google maps?

- Ну если программа намеренно отправляет геолокацию на свои сервера? то да, ведь весь трафик проходит через VPN.

Исключением является Split tunneling, когда можно трафик всего нескольких программ передавать по VPN.

Есть еще такая штука, как shared folders (но браузер точно там не будет cookie хранить)

Они для таких штук как например у яндекса, когда ты качаешь второе их приложение и можешь взять авторизацию из первого.

3. Я бы хотел ещё раз уточнить по поводу чёрной разработки, (хотя ты наверное, как не разработчик браузера, с трудом ответишь, но всё же) может ли приложение достать cookie из браузера?

Или допустим наоборот, что-то прилететь со стороны браузера с учетом предоставления доступа для всех расширений?

- Одно приложение не может без root прав получить доступ к файлам другого.

4. А что насчёт дыр? Ты опять же наверное не специалист по ИБ (информационная безопасность - ред.), но все мы знаем, что дыры есть и в новых хромах (Google Chrome - ред.) , и в Iphone.

Насколько на андроиде часто эксплуатируются 0-day уязвимости? (уязвимости в релизной версии продукта, которые ещё не успели закрыть разработчики - ред.)

- Говорю за последнюю miui 12 с патчем безопасности в этом месяце, все известные уязвимости пофикшены, и даже с root он более безопасен стал.

А дыры всегда и везде есть, но никому неизвестны.

5. Считаешь ли ты, что антивирус на android (без root прав) не нужен?

А с root правами? Мы ведь не даём антивирусу root права, например.

(про браузер сейчас наверно не будем говорить, потому что здесь уже нужен нормально настроенный firewall на маршрутизаторе, и желательно cookie в браузере не оставлять больше недели)

- Антивирус на android не нужен в принципе, даже если ты качаешь все файлы подряд - в случае чего он не спасет.

Также не давать root права недоверенным приложениям - и тогда все будет безопасно.

Ну и он ещё не нужен потому что на уровне системы все реализовано нормально, те же банальные screenlocker'ы не работают без разрешения "поверх экрана".

6. Я считаю, что антивирус может сыграть в роли программного маршрутизатора со своим firewall и предотвратить доступ к небезопасному сайту, или http протоколу. 

Ты согласен с этим утверждением?

Как можно угнать cookie из хрома последней версии вообще? Для этого нужна дыра, или можно даже просто скинуть ссылку на свой сайт, в гиперссылке, обманом заставив человека обратиться к твоему чёрному сайту?

- Без установки VPN соединения он не сможет получить, а тем более заблокировать трафик.

Максимум - его количество (в байтах) и от какого приложения.

Через сайт cookie не угнать, ведь браузер их отдает только тому сайту которому они принадлежат.

Их можно получить дав root права другому приложению.

7. А telegram может, допустим, записывать видео со своего окна (внутри telegram)? Как можно запретить это делать приложению?

В telegram x, например, мы можем отключить захват активити (окна приложения - ред.), и тогда скриншот или запись telegram х с экрана будет просто чёрным окном.
Это реализация самого android? Приложение может это обойти?

- Это отдельное разрешение наравне с камерой, и когда приложение первый раз его запрашивает - открывается диалоговое окно "Хочет начать запись экрана".

При скрине черный экран - это реализация приложения, черная маска над приложением.

8. Есть такое приложение "access dots", может ты слышал.

Эту возможность добавили в Iphone, а затем его сделали индусы для android.
Суть приложения в том, что оно устанавливается как сервис в систему, и при получении доступа к камере и/или микрофону показывает цветные точки в статус-баре. Так, например, спалили записывающий звук в фоне instagram.

Но при этом само приложение, по утверждению разработчиков, доступа не имеет ни к тому, ни к другому.

Как думаешь, как реализована эта штука?

Её можно обойти?

[https://play.google.com/store/apps/details?id=you.in.spark.access.dots]
[https://t.me/exploitex/1564]

- Кстати в MIUI 12 есть аналог, в левом верхнем углу показывает значок, когда приложение в фоне обращается к чему-то.

Оно обращается к API android, так же, как и антивирус к количеству трафика.

Работает через accessibility сервис android.

Но это не значит что разработчики используют эти права.

9. А если приложение имеет доступ к микрофону, оно также может записывать в режиме заблокированного устройства?

- Да, если доступ полный, а не "во время использования приложения".

Наш твитр: @derkodierer