Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Student ontdekt manier om Android-smartphones onopgemerkt foto's te laten maken

Een Amerikaanse student heeft een manier gevonden om een Android-smartphone foto's te laten maken zonder daarvan een zichtbare melding te tonen. In een video toont de onderzoeker hoe hij op afstand een camera kan bedienen.

Student Szymon Sidor van Massachusetts Institute of Technology maakte zijn ontdekking donderdag wereldkundig op zijn blog. In zijn post legt hij uit dat Android-apps foto's kunnen maken en die door kunnen sturen via het internet, terwijl de smartphonegebruiker daar geen enkele notificatie van krijgt.

Sidor werd naar eigen zeggen op het idee gebracht door een ouder onderzoek, waarin werd aangetoond dat het mogelijk is om de webcam van oudere MacBooks te activeren zonder dat het ledje naast de webcam aangaat. Officieel zou dat niet moeten kunnen, maar de FBI gaf eerder al aan dat het ongemerkt activeren van de webcam mogelijk was.

De student probeerde eerst de webcams van pc's ongemerkt te activeren, maar hij stapte al snel over naar Android-smartphones. "Er zijn al veel apps in de Play Store die zeggen dat ze foto's kunnen nemen zonder zichtbare indicatie, maar wat ik zag was dat ze allemaal app-activiteit weergaven en zichtbaar waren als het scherm aan stond", zo schrijft hij.

Sidor ging op onderzoek uit en zocht naar manieren om een Android-app op ieder moment te activeren zonder dat de gebruiker daarvan een zichtbare melding kreeg. Hij kwam erachter dat hij een voorvertoning van het camerabeeld op het homescreen kon plaatsen, terwijl de eigenlijke applicatie niet actief is. "Dit was niet ideaal, want de voorvertoning was nog steeds zichtbaar."

De student probeerde in de instellingen van de voorvertoning om die onzichtbaar en transparant te maken, maar dat werkte niet. Ook was het niet mogelijk om die voorvertoning door iets anders te laten bedekken. Maar uiteindelijk bedacht Sidor dat het ook zou moeten werken door de voorvertoning 1x1 pixel groot te maken, wat succesvol bleek.

"Het resultaat was tegelijkertijd geweldig en eng. De pixel was niet te zien op het scherm van de Nexus 5, zelfs als je weet waar je moet kijken. Ook wanneer het scherm was uitgeschakeld, was het nog steeds mogelijk om de foto's te maken, zolang de pixel er maar was."

Sidor schreef software om zijn ontdekking kracht bij te zetten. In een video laat hij zien hoe hij foto's maakt, terwijl zijn telefoon ogenschijnlijk niets doet. De webapplicatie kan de Android-telefoon niet alleen foto's laten maken, maar ook de batterij- en de netwerkstatus van het apparaat controleren. Hij twijfelt nog of hij de code van zijn programma openbaar zal maken, zo schrijft hij op zijn blog.

De MIT-student benadrukt dat het voor Android-gebruikers belangrijk is om op de rechten te letten als zij een app via de Play Store installeren. Ook adviseert hij om apps die niet worden gebruikt, maar wel veel energie gebruiken, te verwijderen.

Door Yoeri Nijs

Nieuwsposter

23-05-2014 • 19:20

105 Linkedin Google+

Reacties (105)

Wijzig sortering
ik hoor het wel vaker dat zulke instellingen handig zijn en zo maar hoeveel mensen ken je die een iphone heeft en die de permissies heeft afgenomen van een app?
leuk dat je het kan maar grosse van de mensen zal die permissies nooit veranderen.
wij tweakers wel maar 90% van de bevolking zal dat niet doen.
Trouwens je hoeft geen miui rom te halen om dat te kunnen want met expose kan je het zelfde doen.
Bij Miui staat de permissie op bepaalde onderdelen aan/uit/nog te definiëren. Gevoelige data staat op "?" = nog te definiëren. Als een app het telefoonboek wilt bekijken, dan krijg je dit te zien en dan kun je 1malig toestemming geven, altijd toestemming of geen toestemming geven.
Deze rechten kun je achteraf ook nog wijzigen via de ingebouwde "permission manager" app.
Hierin kun je per app de permissies bekijken en per systeem onderdeel kun je zien welke app er toestemming voor krijgt / geen toestemming heeft / welke app dit elke keer moet vragen.

Dit is allemaal standaard ingebouwd en dit mag wat mij betreft gewoon standaard zijn bij Android telefoons.
WP8 apps geef je initieel alleen rechten op standaard features (zoals contacts, messaging, SD card, etc). Echter sensor data toestemming geef je niet bij installatie, maar op het moment dat de app de betreffende sensor (gps, camera, kompas, tilt-axis, proximity, etc) wilt gebruiken. Daardoor kun je goed aangeven wat een app wel of niet mag.

Dit werkt uiteraard alleen goed als de gebruiker dan ook goed leest waarvoor deze op dat moment expliciet toestemming voor geeft. Gebruikers die blind op 'ok' blijven klikken blijven natuurlijk altijd vatbaar voor dit soort software.

Juist de 'delayed' sensor data permissions vind ik een van de betere verbeteringen tussen WP7 en WP8. Ik zou graag een WP8 lumia willen hebben zoals de 1320 of 1520, maar dan met een kleiner scherm (max 4,5")..
Een ander belangrijk aspect is ook dat bij de Windows Phone Store de permissies daadwerkelijk gecheched worden!

Dus als jij een camera app maakt die de camera API gebruikt, en geen camera permissie aanvraagt wordt je app gewoon keihard geweigerd door Microsoft.

En bij elke app staat ook in de Store het volledige lijstje van toegewezen capaciteiten.

Tenslotte heb je onverhoopt toch per ongeluk iets wat extra capaciteiten nodig heeft, heb je pech. Denk aan bij gebruik native code waar de parameter de access bepaald. Denk aan het toegang vragen tot een directory. Omdat de parameter naar die API call runtime is kan dat niet gechecked worden bij Store-acceptatie.

De Windows API checked namelijk in de API de access rechten. Security is daar geen laagje op de API zoals bij Android, maar zit in elke Win32 API ingebouwd. Wil je die omzeilen moet je dus rechstreeks de kernel-APIs aanroepen. Maar dan wordt je app dus weer geweigert...
Eens, helemaal niets nieuws. Waarom is dit niet gefilterd door de redactie. Alle apps zoals Cerberus, Android Lost en 100 andere kunnen dit al. Niets nieuws, en ook geen fout in Android.
Omdat het al bekend is wil niet zeggen dat het niet fout is... Het lijkt me best ongewenst dat een app dit kan, hooguit als het met explicite toestemming zo is geïnstalleerd. Dit is een simpelweg een privacy probleem.
Nou ja, daar zal de legitieme eigenaar van die telefoon wél app-activiteit kunnen waarnemen, alleen de persoon die niet de juiste pin code heeft ziet het niet. En dat is geen probleem.

In dit geval zou het gaan om écht (ook voor de legitieme eigenaar) onzichtbaar foto's maken. Dat is toch niet helemaal hetzelfde.
Nee, je ziet geen enkele melding, enkel dat die foto direct naar je e-mailadres wordt verzonden, maar als je die niet gekoppeld hebt aan je telefoon merk je er niks van.
Daar moet wel bij worden gezet dat je Cerberus zelf hebt ingesteld en hebt geïnstallerd.
Whatsapp, wat tegenwoordig ook onderdeel is van Facebook.
Gelukkig was ik niet de enige die had opgemerkt dat er ineens waanzinnige dingen tussen de permissies stonden. Was er wel klaar mee, ook niet verder geüpdate :o.
Het zou mooier zijn als je ipv het huidige binaire permissiebeleid ook specifieke permissies kan ontzeggen aan apps. Die hele permissielijst lees ik niet meer door, omdat je er toch niets aan kunt veranderen.
Klopt wel, heb zelf de s4 (i9505) en vind het abnormaal wat apps vragen kijk ik snap dat apps als WhatsApp de permissie bellen en sms'en nodig heeft.. Bvb je telefoon nummer configureren.. Ik hoop dat er in een nieuwe update dit word opgelost.. Anders ga ik over op Ios ...
o vraagt hij bijvoorbeeld om rechten om telefoontjes te mogen plegen

Gelukkig zijn dat soort zaken zelfs met permissies niet mogelijk op Windows Phone.

Het launched dan de native applicatie, en kan dus nog steeds niet zelf gaan bellen/SMSen/etc. Waarschijnlijk heeft het dan ook enkel die rechten om zoiets te starten. (Of je hebt het verkeerd begrepen O-) .)

Dat is ook een beetje het probleem. Geef je applicatie-developers veel mogelijkheden, kunnen ze de meest prachtige dingen doen. Maar ze kunnen ook makkelijker kwaadaardige dingen doen ...
Schuin naar de grond gericht gaat natuurlijk niet op als de App de front-cam aanzet i.p.v. de back-cam.

Het is prachtig dat je blijkbaar het dataverkeer van je telefoon in de gaten houdt, maar dat is altijd achteraf. Jij zult er misschien achter komen dat een App wel veel stroom verbruikt en veel dataverkeer, maar op dat moment is het kwaad natuurlijk al geschied. Dan heeft de kwaadwillende misschien net even een foto geschoten toen je je telefoon beet had toen je net uit de douche kwam.
Ach als ze naar mijn rotkop willen kijken hou ik ze niet tegen haha maar veel hebben ze er niet aan.
En zo erg ben ik gelukkig niet met mijn telefoon getrouwd :)

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Microsoft

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True