Komoly biztonsági hiba a Signal üzenetküldő app androidos verziójában

 ( trey | 2019. október 5., szombat - 8:59 )

A Google P0 csapata egy hibát fedezett fel a Signal üzenetküldő app androidos változatában, amely lehetővé teszi a mikrofon bekapcsolását távoli készüléken. Signal alkalmazást használóknak érdemes mielőbb frissíteni a legfrissebb verzióra.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Köszi az infót! Frissítve.

ez az a kategoria, ahol nem bannam, ha lenne forced upgrade a play store-ban meg az f-droidban.

Gondolom feltéve, hogy mikrofon joga van az alkalmazásnak. Mert ha nincs, gondolom "működik" a sérülékenység, de csak süketséget ad :)

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

Ez logikusnak hangzik, de a helyzet az, hogy a Signal gyakorlatilag ugyanolyan, mint a Hangouts, Skype, Viber, stb. - azaz azon kívül, hogy csetelni lehet benne, lehet telefonálni is rajta - no akkor azért a mikrofon-jog eléggé alapnak tűnik :-(

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nem védeni szeretném sem a droidot, sem a signalt (akinél különösen komoly ön-tökön-lövés egy ekkora blama, miközben a securera verik maguk, snowdennel, meg bruce schneiderrel a főoldalon), de lehet, hogy az androidban mostanában divatos akkor kéri jogosultságot, amikor az app valóban rápróbál elsőre azért segít valamennyit. Erős a gyanúm, hogy viszonylag széles réteg van, aki nem akar a signalon telefonálni, és ha már signalt használ, akkor van annyira tudatos, hogy nem is engedte a michez, ha már egyáltalán kérte.

Így van, szépen összefoglaltad. Pontosan ezért kell minden alkalmazásnak a kizárólagos minimumot kiosztani. Én Signalon írni szoktam, tehát takarodjon a mikrofon meg kamera jogával. És igen, on demand kérnek jogot az appok, de nem "mostanában", hanem kb. az 5-6os Android óta, most meg 10 van :)

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

Szerintem inkább a 8 környékén, a 6osban még csak újra gondolták a policykat. Persze egyrészt simán lehet, hogy rosszul emlékszem, meg az is, hogy már ott is lehetett volna on demand kérni, csak még mindenki próbálkozott első indulásnál.

Szerintem úgy volt hogy újrarendezték a policyket és egyből on demand _lehetőséget_ adtak rá, de ehhez újra kellett írni az appokat. Az első 1-2 évben rengeteg app volt, ami induláskor belövöldözte az összes jogát, és ha valamelyiket nem kapta meg, rögtön kilépett, mivel a régi rendszerben mindent-vagy-semmit elven ment a dolog.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

Szóval akkor tulajdonképp divatos a 8 körül lett :) Az nekem még belefér a mostanábanba, öreg vagyok már :)

Azért emlékszem erre mert a régi offline navimat akkor kukáztam végleg (ragaszkodott a telefonhívások kezelése joghoz, amit indokolatlannak ítéltem meg, hiszen mellette a waze elketyegett egy darab helymeghatározás joggal).

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

> a mikrofon-jog eléggé alapnak tűnik :-(

Nem muszáj megadni, pl ha csak IM-nek használod az appot.
Ezt is lehetne jobban. Most az Android 10-zel megjelent a helymeghatározáshoz az opció, hogy csak akkor engedd, ha használod az appot. (Bár nem tiszta hogy ez pontosan mit jelent) Sok más jogosultsághoz jöhetne ilyen, pl mikrofon, kamera. Jellemzően akkor kell ezeknek az appoknak hallgatózni, ha ténylegesen használod őket.

Azt jelenti hogy az alkalmazás előtérben, képernyőn van, ténylegesen fut. Szerintem.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

A három opció az, hogy mindig, soha, vagy "allow only when using the app". A megfogalmazás miatt emeltem ezt ki. Nem azt mondják, hogy amikor az app aktív, vagy előtérben van.

Ez pedig elég fontos mondjuk a navigációs vagy sport tracker alkalmazások esetében.

Mondok egy példát:

Elindítod az Endomondo-n a trackelést, elindítasz egy zenét, majd zsebre vágod, és elmész sétálni. Ha az van beállítva, hogy csak akkor láthassa a helyzetedet "when using the app", akkor tud követni, vagy sem?

A baj az, hogy én nem tudom ilyenkor mit nyomjak. Az se jó, ha meg kell adni a fullos jogosultságot, az se ha megadom csak hogy biztosra menjek. Gondolom másnak se egyértelműbb.

Nem vagyok Android expert, de az "app in use" szerintem két dolgot jelent:
- a képernyő be van kapcsolva, az alkalmazás az előtérben van
- az alkalmazás nincs előtérben, de status ikonnal jelzi, hogy ő márpedig aktívan fut, és kézzel kell kiléptetni (ilyenek szoktak lenni a sport tracker és waze szerű appok). Ez esetben lényegtelen hogy a képernyő be van-e kapcsolva

Ha nincs ilyen ikonja és pl. home gombbal hátra küldöd, akkor az elvileg nem fut aktívan. A recents -ből is kiesik egy idő után.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

Ebben reménykedem én is. Nálam sincs engedélyezve a mikrofon nekie.
Mint ahogy sok más proginak se, aki biztos ami biztos elkér minden szar hozzáférést.

---------------------------------------------------------------
Csak akkor szólok hozzá egy témához, ha értelmét látom.

Engem az szomorít el hogy a google szarjai "előzékenyen", gyárilag megkapnak _minden_ létező jogot. Leszedheted, de úgy vettem észre, hogy időnként sunyiban visszapakolja magának. Egészen elképesztő.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead