Vulnerabilidade permite acesso a fotos e localização no iOS
e no Android!!! No mercado tecnológico, a segurança é um tópico que sempre fará correr muita tinta nos meios de comunicação. É por essa razão que existe a responsabilidade dos principais gigante tecnológicos proteger os nossos dados.
A Apple tem adoptado um modelo rigoroso no que se refere aos padrões de segurança empregues no seu ecossistema. Mas, como o crescente mercado que tem conquistado, o assédio de malware também tem aumentado. Recentemente veio um novo problema pela mão de uma app.
A Apple, tem se encontrado nos últimos tempos sobre “fogo cerrado” após relatos de que alguns problemas de segurança da versão 5 do iOS entre os quais um que referimos aqui.
Mas, ter acesso ao livro de endereços e efectuar chamadas não são as únicas recursos dos quais um utilizador malicioso pode tirar partido na plataforma da Apple. Segundo alertas provenientes de programadores é também possível utilizar uma falha de segurança no iOS para aceder a todas as fotografias tiradas pelo iPhone/iPad
O processo funciona em termos genéricos da seguinte forma. Um utilizador é interrogado por uma aplicação para iPod Touch, iPhone ou iPod, se permite dar acesso a informações sobre a sua localização para fotos e vídeos. Posteriormente e apenas com estas permissões a aplicação pode tirar partido da referida vulnerabilidade e copiar a colecção inteira de fotos que o utilizador tiver, sem qualquer notificação ou erro.
Claro que o leitor pergunta de imediato aos seus botões, mas não existe a garantia que a Apple testa todas as aplicações antes de serem aceites na App Store, e esse processo rigoroso elimina aplicações maliciosas? Na grande maioria das vezes é verdade, contudo veio-se a saber nos últimos tempos que a própria Apple aprovou aplicações que se tornaram populares na App Store e que na realidade copiavam os contactos da agenda de todos os proprietários de dispositivos iOS. Não é por isso descabido pensar, que devido ao volume de aplicações na App Store, haja aplicações que estão a copiar ilicitamente fotos do utilizador.
Mas há mais, quando os dispositivos Apple gravam os ficheiros (fotos ou vídeos), o utilizador pode especificar se pretende armazenar as coordenadas do local em que foram tiradas, assim sendo parecem óbvias as complicações ao nível da segurança. Isto é, com toda esta informação é possível não só identificar o proprietário do dispositivo da Apple através das fotografias (como os seus amigos e familiares que tiverem nas fotos tiradas) mas também os seus hábitos referente aos locais que visita.
De modo a confirmar a existência desta falha de segurança o New York Times, pediu a um programador, que trabalha para uma software house que desenvolve aplicações populares para iOS, para criar uma aplicação de teste que tirasse partido deste falha de segurança e recolhesse não só fotos mas respectivas informações de localização a partir de um iPhone. Quando este aplicativo, que foi denominado de PhotoSpy, foi iniciado, pediu de imediato aos dados de localização. Uma vez que estas permissões foram concedidas, a aplicação estabeleceu uma ligação com um servidor remoto e enviou as fotos dos álbuns do iPhone bem como a respectiva informação de georeferenciação.
Esta vulnerabilidade levanta uma questão importante. A Apple orgulha-se de ter um processo de revisão de aplicações bastante rigoroso, mas será que é suficiente para proteger a sua plataforma?
Não queremos dizer com isso que o Android ou o Windows Phone 7 (por exemplo), estão melhores neste aspecto. Apenas neste caso é oportuno referir que a eficácia total aceitação de novas aplicações na App Store não é por si só suficiente para garantir a segurança da plataforma.
De tomar nota ainda é que na versão 5 do iOS estão-se a verificar mais vulnerabilidades do que a Apple nos tem habituado. Será fruto de um uso massificado da plataforma? Ou simplesmente o facto de os dispositivos da Apple serem cada vez mais uma galinha de ovos de ouro para entidades maliciosas? Talvez um pouco dos dois!
Não temos qualquer dúvida que este problema como tantos outros será resolvido pela Apple. Mas até lá o melhor é não activar o acesso a georeferenciação no iOS, e ter muito cuidado com aplicações que lhe pedirem esta permissão. Porque a última fronteira de segurança está à frente do ecrã do seu iPhone ou iPad. [via]
Update:
Depois da notícia sair da redacção, a mesma fonte lançou um artigo em que dá conta que o Android também sofre de uma vulnerabilidade semelhante. Ao que parece este sistema operativo guarda as fotografias numa directoria standard no sistema de ficheiros. Isto significa que qualquer aplicação consegue aceder por omissão a essas fotografias. Contudo, segundo um comunicado da Google, não se trata de uma falha de segurança mas uma consequência de uma decisão de design de sistema.
"Nós originalmente concebemos o sistema de ficheiros e a forma de armazenamento de imagens com base em outras plataformas como o Windows ou Mac Os. Na altura, as imagens eram armazenadas em cartões SD, de modo a tornar mais fácil a um utilizador remover o cartão SD e colocá-lo num computador para ver e transferir essas imagens.
À medida que os smartphones e tablets foram evoluindo, a dependência de armazenamento passou a ser ao nível de memória interna (não amovível). Estamos atentos ao problema e em adoptar uma abordagem diferente de modo a exigir às aplicações os privilégios adequados para aceder a imagens. A google frequentemente implementa políticas de remover qualquer aplicação do Android Market que aceda de forma imprópria aos seus dados"."
Este artigo tem mais de um ano
Não querem actualizar o post ? Da mesma “via”:
“It’s not just Apple. Photos are vulnerable on Android phones, too.”
http://bits.blogs.nytimes.com/2012/03/01/android-photos/
Existe sim senhor essa vulnerabilidade. Mas talvez a noticia já tivesse sido feita antes dessa surgir. Mas não é isto um certo abalo no “jardim dourado” de segurança que tem sido as aprovações da Apple?
Não se orgulham de ter um mecanismo de aprovação imbativel que não passa nenhuma aplicação maliciosa? Pelos vistos não é verdade, segundo a fonte esta vulnerabilidade já é prática comum de algumas aplicações aprovadas na app store.
Existe claro também o registo de uma aplicação de pokemom que pelos vistos tirava partido de uma falha semelhante, e só foi detectada porque teve a sorte (ou azar) de se tornar popular.
Afinal o sistema de aprovações de aplicações da Apple também é falível 😉
Este artigo neste ponto é muito opurtuno!
Com a devida vénia, fica aqui uma opinião, do Abertoatedemadrugada, que subscrevo.
Acho que não há mais nada para acrescentar.
http://abertoatedemadrugada.com/2012/03/o-acesso-as-fotos-no-ios-e-android.html
Estás a subscrever uma “teoria da batata” desculpa lá. Assim é simples resolver os problemas, mandamos para trás das costas. Ora isso é simples.
Olha que vou ter de concordar com o vitor. Esse artigo que referiste, dá uma no cravo outra na ferradura.
Primeiro começa por meter em causa uma das maiores referência mundiais o NYT. E olha que o artigo original está muito detalhado, eles preocuparam-se ao detalhe de pedirem a um programador para desenvolver uma aplicação para tirar partido do exploit. E assim conseguem validar que o potencial para exploit existe.
Depois o raciocinio do autor desse post é altamente confuso e pouco coerente e cito:
“Por um lado, até compreendo essa preocupação… existe efectivamente um potencial para abuso… Mas tal pouco ou nada difere do potencial para qualquer pessoa instalar trojans e/ou virus nos seus computadores!”
E qual é o ponto? Não são ambos gravissimos e não devem ambos ser denunciados de modo a alertar os possuidores dos equipamentos afectados de modo a fazer pressão sobre os autores dos sistemas operativos com falhas? Isto tanto se aplica a iOS como android.
Acho que a tentativa de apaziguar dessa fonte ao dizer que não é nada de especial este problema, bem… Desculpa mas não consigo perceber a coerência do raciocínio.
Tudo o que o NYT diz e o post do Vítor reproduz não tem jeiteira nenhuma.
O 5º § diz assim “Um utilizador é interrogado por uma aplicação para iPod Touch, iPhone ou iPod, se permite dar acesso a informações sobre a sua localização para fotos e vídeos. Posteriormente e apenas com estas permissões a aplicação pode tirar partido da referida vulnerabilidade e copiar a colecção inteira de fotos que o utilizador tiver, sem qualquer notificação ou erro”.
Isto parece muito estranho mas qualquer pessoa que use o iOS 5 sabe que se concede a uma app o acesso às Fotografias através do Serviço de Localização. Abri agora uma que diz assim “Location Services are turned off on your Device. To let de application automatically upload photos from your Library (vá a Definições e ligue o serviço de localização)”. Depois de ligado o serviço de localização o iOS 5 irá perguntar se se permite à app aceder ao serviço de localização.
Tal como está escrito parece que o utilizador só quer dar à app acesso ao serviço de localização e por uma “vulnerabilidade” dá acesso às fotos.
O utilizador sabe que desse modo dá acesso às fotos – a todas as fotos que estejam na Library. Para corrigir a vulnerabilidade tinha que dar acesso às fotos uma a uma ?
O post depois fala da app pedida a especialista – quem pensar no Android Market pensa que a app esteve no app Store – que consegue enviar as fotografias para um servidor, e
conclui “Esta vulnerabilidade levanta uma questão importante. A Apple orgulha-se de ter um processo de revisão de aplicações bastante rigoroso, mas será que é suficiente para proteger a sua plataforma?”
Alguém que me explique, como se eu fosse muito burro, qual é a vulnerabilidade do iOS e o que é que a app que não esteve no Apple Store tem que ver com o assunto.
Enfim, não usem computador e usem uma máquina fotográfica tradicional que os riscos de vírus e malware (no computador) ou do acesso indevido às fotos (num smartphone, iOS ou Android) é reduzido a zero. Não sei se era isto que o Carlos Martins queria dizer, mas pode muito bem ser.
Updated 😉
Ao ligar qualquer iPhone ao computador, mesmo sem PIN fica com acesso as fotos.
Qual a novidade e qual a vulnerabilidade?
Eu acho prático pois transfiro as fotos dessa forma, e não por iTunes.
Como se fosse uma pen.
Tão, pá?
Lê lá de novo a posta…
O problema que estamos com ele não é quando se liga o iDevice ou o Android ao computador, é quando uma app pede autorização para fazer uma coisa e acaba por poder fazer outra sem nenhuma relação.
De facto começam a haver nos últimos tempos demasiadas notícias destas.. Embora a maior parte não seja muito alarmante, para mim esta foi até agora mais preocupante, a Apple que se previna..
A segurança na App Store é um dos pontos fortes no ecossistema Apple.. Vamos ver se redobram a atenção ou deixam andar..
victor andas distraído!:) o android também tem esse problema|
http://bits.blogs.nytimes.com/2012/03/01/android-photos/
Não ando, sei que também tem, mas lá pelos outros terem não justifica nada. 😉 verdade?
A Apple, obviamente, tem um sistema mais estreito o que condiciona o aparecimento de malware, mas é cada vez mais um alvo, pela tomada de mercado, o iOS e Mac OS X é hoje um maior factor de consumo, de riqueza laboral e uma crescente plataforma lúdica… a Apple tem de proteger os seus clientes, como o fez até hoje.
As restantes plataformas não são de todo um exemplo, mas cada um que cuido do seu mercado.
Ou como se como se costuma dizer, com os problemas dos outros posso eu bem.
Ou a expressão brasileira que envolve especiarias e orifícios corporais de outras pessoas…
🙂
Mudando de assunto, mas os gajos da Google agora até as falhas de segurança copiam do iOS? Cambada de invejosos!
A questão é exactamente essa,a Apple não protegia porque simplesmente não era preciso, não era atacada, nunca ou raramente foi um alvo para o malware ou virus, agora que veio para a “ribalta” é que vai ter que lutar contra estas advertências.
Agora é que se vai o que valem.
Serei eu o único que sabe se ligar o telefone por usb ao PC, e for ver ao index de ficheiros, estão lá as fotos todinhas…tipo pen, mesmo que tenha PIN.
és muita esperto, mas o que dizes nada tem haver com o post…
Continuas a bater na mesma…
Não estou a compreender, se o que eu faço é uma vulnerabilidade, mas mais simples do que esta publicada.
Ok já entendi, uma precisa de ter um PC ao lado para ligar por cabo, e a outra pode se bisbilhotar quando alguém lhe empresa o telemóvel para as mãos, ou se forem a carteira da patroa.
é a única diferença que encontro. A vdd é que quem quer sacar ou ver as fotos de um iPhone pode ver, ligando a um pc. Seja o dono do telemovel ou Não.
Toda a gente critica o Windows por ser um ninho de virus e malware e gabam-se que o MAC ou Linux é que é completamente seguro.
Agora que o sistema operativo da Apple começa a ser mais utilizado começa a ser um atractivo para desenvolvimento de virus e malware, é tão simples quanto isto.
A diferença é que a Microsoft já combate isto há muitos anos, já tem muita experiência a apple está agora a começar, vamos ver quem afinal vai ganhar a batalha dos smartphones e tablets.
A Apple está a começar? mas tu pensas que a Apple existe quê? à 5 anos?
Um pouco de história não te faz mal nenhum.. devias ler antes de falar..
e sim o OS X (que não tem a ver com o iOS aqui descrito na notícia) tal como o linux são dois sistemas bastante seguros já que se baseiam em UNIX!!! Se existir num mac um malware é apenas um trojan, e mesmo assim ainda te pede “educadamente” para instalar lol só instala quem não tiver muitos neurónios…
A Apple sim, ao contrário da microsoft combate isto à muitos anos, e como tal nunca se necessitou de antivírus etc.. e agora com o futuro GateKeeper, vai ainda tornar a mediática possibilidade de existir vírus no futuro para mac, ainda muito menor!!
Concordo plenamente. A Microsoft tem a experiência acumulada ao nível de segurança de muitos amos que os outros players do mercado estão apenas a adquirir agora.
Embora as plataformas Unix/Linux sejam por omissão mais pensadas para questões de segurança por serem usadas há muitos anos em ambientes distribuidos e com preocupações de segurança, tambem têm falhas de segurança.
Agora claro o último patamar de segurança somos nós 😉
Considerar que no caso do Android é vulnerabilidade é no mínimo puxado.
As fotos estão no cartão de memória… ou seja, não há protecção sequer.
Cada vez mais chego à conclusão que os sistemas são vulneráveis na medida da sua utilização. Quantos mais utilizam, mais falhas aparecem.
Aqueles puristas que sempre atacam os OS da Microsoft vs Linux, ou IE vs outros browsers, não conseguem entender, que se trata de explorar, onde existe mais utilizadores e onde é mais proveitoso. Com a massificação do iOS é normal aparecerem cada vez mais bugs…
Depois de uma noticia destas, o argumento dos amantes da Apple é:
O Android também faz, toma, toma!
Parece os putos 😀
WTF ???? Então mas esse não era o melhor sistema do Universo, não estava num patamar de superioridade, quase esotérico, enquanto os outros eram simples linhas de código terráqueas e imperfeitas? Depois desta notícia é esse o argumento??? Então e a vossa loja? então e o vosso método de aprovação? É isso que têm para dizer? O que o Android faz e não faz já nós sabemos. Que o Android é melhor que o iOS estamos fartos de saber. Que existem pontos a ser melhorados em TODOS os SO também. Mas agora também sabemos que vocês sabes que o iOS é apenas mais um SO como os outros, pertence ao TOP 3, mas não vai isoladíssimo na frente, nem de perto nem de longe. Parece aquele gajo que começou a corrida a todo o gás e vai lá na frente e esqueceu-se que era uma maratona. Agora está com dificuldade em acompanhar os primeiros e a fadiga devido ao esforço já se nota.
deixa de ser infantil.. o teu comentário não oferece mais nada de útil que a infantilidade, a tua obcessão pelo android, e a azia por outros OS (nomeadamente iOS) como já tens mostrado noutros topicos.
Se falas em maratona, e dizes que neste caso o iOS está com dificuldades.. Então mas espera lá, e o android (já que partilha deste “singelo” problema, bem como de outros (e como tu afirmas que já tens conhecimento, isto é que “já sabemos”) também não esta? se é que te serves deste exemplo para ilustrar o teu ponto de vista.
Realmente este teu comentário em nada favorece o sistema andróide, antes pelo contrario. As opiniões de alguém que tem um avatar como o teu, nao poderão ser levadas em conta. Enfi…testa lá os dois a serio e vais ver que amadureces um pouco mais
Boa tarde ,
Os Sos com base em Unix estão construídos de uma forma completamente diferente do Windows , um trojan no Windows espalha-se por todos os ficheiros do teu HDD , em Unix as coisas não se passam dessa forma , o bicharoco fica contido num cluster ,pode fazer estragos pode , mas nunca na dimensão do Windows , nesse aspecto é completamente legitimo dizer que Apple e Linux são Sos mais seguros , o que não quer dizer que não tenham falhas de segurança , diria mais , não existem sistemas no Mundo inteiro que não sejam falíveis , a segurança é uma palavra muito lacta e que por vezes as softwares houses que produzem programas que visam a segurança usam e abusam , fazendo publicidade enganosa , nada na Blogosfera está seguro capacitem-se disso .
Aceitem os meus sinceros cumprimentos
Serva
nem mais! 😉
Ora cá venho eu mandar mais uma laraxa 🙂
Como não conheço o iOS não posso opinar muito, mas posso dizer umas coisas. Pelo que li, não me parece que seja um exploit que esteja a ser usado, apenas é pedido permissão para uma determinada acção e após ser dada, pronto, pode-se fazer o que se quiser. Ora, se não é nenhum exploit, e ainda por cima é dado o acesso por parte do utilizador, onde está a falha de segurança?!
Fazendo um Quote do site que publicou a noticia:
“As it turns out, address books are not the only things up for grabs. Photos are also vulnerable. After a user allows an application on an iPhone, iPad or iPod Touch to have access to location information, the app can copy the user’s entire photo library, without any further notification or warning, according to app developers.”
Mas… mas… mas?! JÁ DEI ACESSO!!!! Querem mais o quê?! Alguém se preocupa com o software que tem instalado no PC que pode ou não copiar os nosso documentos, fotos, videos, notas, apontamentos, contactos, passwords, *TUDO*, sem sequer pedir permissão?! Mais, se as fotos tiverem a metadata da localização, essas mesmas aplicações podem aceder a essa informação também.
Pela mesma ordem de ideias, TODOS os Sistemas são vulneráveis porque não conheço nenhum que previna o acesso a essa informação ou que muito menos notifique o utilizador de tal acesso.
Em Android, para mim continua um non-issue visto sempre ter sido assim exactamente como está descrito pela Google. Para além disso, as aplicações têm de ter a permissão para “Aceder ao SDCard”, e o utilizador é notificado disso aquando da instalação.
Como tal, muito hype muito hype, mas um mega non-issue!
“Estão-se” ?! É preciso um corrector ortográfico.