Signal: Incoming call can be connected without user interaction https://t.co/0sKc1ITHF8
— Project Zero Bugs (@ProjectZeroBugs) October 4, 2019
New — A bug in #Signal messenger app for #Android could allow callers to auto-connect audio calls without receivers' interaction and listen to all conversations surrounding the targeted phones.
Details ➤ https://t.co/K5fF9Ysf9V
—by @Swati_THN#infosec #privacy pic.twitter.com/mAtKDNJY4l— The Hacker News (@TheHackersNews) October 4, 2019
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Köszi az infót! Frissítve.
- A hozzászóláshoz be kell jelentkezni
ez az a kategoria, ahol nem bannam, ha lenne forced upgrade a play store-ban meg az f-droidban.
- A hozzászóláshoz be kell jelentkezni
Gondolom feltéve, hogy mikrofon joga van az alkalmazásnak. Mert ha nincs, gondolom "működik" a sérülékenység, de csak süketséget ad :)
--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead
- A hozzászóláshoz be kell jelentkezni
Ez logikusnak hangzik, de a helyzet az, hogy a Signal gyakorlatilag ugyanolyan, mint a Hangouts, Skype, Viber, stb. - azaz azon kívül, hogy csetelni lehet benne, lehet telefonálni is rajta - no akkor azért a mikrofon-jog eléggé alapnak tűnik :-(
=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
- A hozzászóláshoz be kell jelentkezni
Nem védeni szeretném sem a droidot, sem a signalt (akinél különösen komoly ön-tökön-lövés egy ekkora blama, miközben a securera verik maguk, snowdennel, meg bruce schneiderrel a főoldalon), de lehet, hogy az androidban mostanában divatos akkor kéri jogosultságot, amikor az app valóban rápróbál elsőre azért segít valamennyit. Erős a gyanúm, hogy viszonylag széles réteg van, aki nem akar a signalon telefonálni, és ha már signalt használ, akkor van annyira tudatos, hogy nem is engedte a michez, ha már egyáltalán kérte.
- A hozzászóláshoz be kell jelentkezni
Így van, szépen összefoglaltad. Pontosan ezért kell minden alkalmazásnak a kizárólagos minimumot kiosztani. Én Signalon írni szoktam, tehát takarodjon a mikrofon meg kamera jogával. És igen, on demand kérnek jogot az appok, de nem "mostanában", hanem kb. az 5-6os Android óta, most meg 10 van :)
--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead
- A hozzászóláshoz be kell jelentkezni
Szerintem inkább a 8 környékén, a 6osban még csak újra gondolták a policykat. Persze egyrészt simán lehet, hogy rosszul emlékszem, meg az is, hogy már ott is lehetett volna on demand kérni, csak még mindenki próbálkozott első indulásnál.
- A hozzászóláshoz be kell jelentkezni
Szerintem úgy volt hogy újrarendezték a policyket és egyből on demand _lehetőséget_ adtak rá, de ehhez újra kellett írni az appokat. Az első 1-2 évben rengeteg app volt, ami induláskor belövöldözte az összes jogát, és ha valamelyiket nem kapta meg, rögtön kilépett, mivel a régi rendszerben mindent-vagy-semmit elven ment a dolog.
--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead
- A hozzászóláshoz be kell jelentkezni
Szóval akkor tulajdonképp divatos a 8 körül lett :) Az nekem még belefér a mostanábanba, öreg vagyok már :)
- A hozzászóláshoz be kell jelentkezni
Azért emlékszem erre mert a régi offline navimat akkor kukáztam végleg (ragaszkodott a telefonhívások kezelése joghoz, amit indokolatlannak ítéltem meg, hiszen mellette a waze elketyegett egy darab helymeghatározás joggal).
--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead
- A hozzászóláshoz be kell jelentkezni
> a mikrofon-jog eléggé alapnak tűnik :-(
Nem muszáj megadni, pl ha csak IM-nek használod az appot.
Ezt is lehetne jobban. Most az Android 10-zel megjelent a helymeghatározáshoz az opció, hogy csak akkor engedd, ha használod az appot. (Bár nem tiszta hogy ez pontosan mit jelent) Sok más jogosultsághoz jöhetne ilyen, pl mikrofon, kamera. Jellemzően akkor kell ezeknek az appoknak hallgatózni, ha ténylegesen használod őket.
- A hozzászóláshoz be kell jelentkezni
Azt jelenti hogy az alkalmazás előtérben, képernyőn van, ténylegesen fut. Szerintem.
--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead
- A hozzászóláshoz be kell jelentkezni
A három opció az, hogy mindig, soha, vagy "allow only when using the app". A megfogalmazás miatt emeltem ezt ki. Nem azt mondják, hogy amikor az app aktív, vagy előtérben van.
Ez pedig elég fontos mondjuk a navigációs vagy sport tracker alkalmazások esetében.
Mondok egy példát:
Elindítod az Endomondo-n a trackelést, elindítasz egy zenét, majd zsebre vágod, és elmész sétálni. Ha az van beállítva, hogy csak akkor láthassa a helyzetedet "when using the app", akkor tud követni, vagy sem?
A baj az, hogy én nem tudom ilyenkor mit nyomjak. Az se jó, ha meg kell adni a fullos jogosultságot, az se ha megadom csak hogy biztosra menjek. Gondolom másnak se egyértelműbb.
- A hozzászóláshoz be kell jelentkezni
Nem vagyok Android expert, de az "app in use" szerintem két dolgot jelent:
- a képernyő be van kapcsolva, az alkalmazás az előtérben van
- az alkalmazás nincs előtérben, de status ikonnal jelzi, hogy ő márpedig aktívan fut, és kézzel kell kiléptetni (ilyenek szoktak lenni a sport tracker és waze szerű appok). Ez esetben lényegtelen hogy a képernyő be van-e kapcsolva
Ha nincs ilyen ikonja és pl. home gombbal hátra küldöd, akkor az elvileg nem fut aktívan. A recents -ből is kiesik egy idő után.
--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead
- A hozzászóláshoz be kell jelentkezni
A Signal-al lehet hívni sima GSM számot, fizetés ellenében, ahogy a Viberrel?
Vagy a Skype-al?
- A hozzászóláshoz be kell jelentkezni
Ebben reménykedem én is. Nálam sincs engedélyezve a mikrofon nekie.
Mint ahogy sok más proginak se, aki biztos ami biztos elkér minden szar hozzáférést.
---------------------------------------------------------------
Csak akkor szólok hozzá egy témához, ha értelmét látom.
- A hozzászóláshoz be kell jelentkezni
Engem az szomorít el hogy a google szarjai "előzékenyen", gyárilag megkapnak _minden_ létező jogot. Leszedheted, de úgy vettem észre, hogy időnként sunyiban visszapakolja magának. Egészen elképesztő.
--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead
- A hozzászóláshoz be kell jelentkezni