مرحبا بالجميع!
اسمي Vadim ، وأنا واحد من المستشارين التقنيين ، وفي الوقت نفسه ، مسؤول النظام في RosKomSvobody .
ولكن هذا المنصب لن يكون عني. ستكون قصة عن حالة مشبوهة (من حيث الخصوصية في سياق الهواتف المحمولة) واجهناها مؤخرًا.
قد يكون ذلك على غرار "Aaaaaaaaa! Look ، الأخ الأكبر (Google) يتابعنا" ، لكنني سأحاول مع ذلك إجراء بعض التحليلات ووضع فرضيات معقولة حول لماذا حدث ما يمكن أن يحدث.
أعتذر مقدمًا إذا لم يعجب أحد الأشخاص التنسيق "la a مجلة" {akep to zero " اكتب - سوف يتم تصحيحه.
هكذا. التفت إلينا أحد قرائنا ، مدعيا أنه عند الدخول إلى موقعنا (والذي ، من المفارقات ، الجزء العلوي من حملتنا ضد التعرف على الوجوه - تعليق BanCam في الأعلى) ، يتم تنشيط الكاميرا الأمامية.
والحقيقة هي أنه صاحب هاتف من جيل جديد من الهواتف بدون "جيب" ، حيث يتم وضع الكاميرا الأمامية في درج "مغادرة" منفصل. الذي ، في الواقع ، يترك عند الوصول إلى الكاميرا.
كما خمنت على الأرجح ، كانت أفكاري الأولى هي الشكوك بأننا كنا معجزة إلى حد ما ، على الرغم من كل "الآليات الأمنية" التي كنت أقوم ببنائها ، وما زلت اخترق و "بنيت".
ومع ذلك ، فقد كشف التحقيق أن كل شيء يتوافق مع موقعنا.
بعد إجراء التحقيق المذكور أعلاه ومناقشة النتائج التي توصلت إليها في الدردشة التقنية لـ RosKomSvoboda ، تذكرت أنني قد واجهت بالفعل في عدة منتديات على الإنترنت أن طروادة "انزلقت" عبر شبكات البانر (عند فتح المنتدى من هاتف يعمل بنظام Android) حزم APK (على ما يبدو ، على أمل أن يقوم المستخدم بتثبيتها ، معتقدًا أن هذا هو العميل الرسمي لهذا المنتدى).
بعد التفكير في هذه الفكرة ، اقترحت محاولة التحقق من "متعقبات" التي كانت في قائمة تلك المسموح بها (يستخدم هذا القارئ Firefox وملحق uBlock المثبت فيه).
أظهرت ساعتان من التجارب أن الكاميرا تتوقف عن الحركة إذا حظرت الوصول إلى نطاق google.com . أيضًا ، في مكان ما في نفس الوقت ، قال هذا المستخدم إنه يتم أيضًا إعادة إنتاج هذا الموقف على موقع kod.ru (قبل أن نتعامل مع إصدار "فقط معنا").
بعد أن تعمقت في عمليات التنقيب ، وجدت أن طلبات google.com لا تثير متتبعات Google فقط (ويعرف أيضًا باسم "التحليلات") ، ولكن حتى "تضمين" مقاطع فيديو YouTube المعتادة على الصفحة. سقطت kod.ru خروج الكاميرا على kod.ru أيضًا في هذه النظرية (كما اتضح فيما بعد ، كان هناك أيضًا فيديو من YouTube على الصفحة التي تم اختبارها).
وللتأكيد أكثر على هذه النظرية ، قمت بنشر مدونة عشوائية بطريقة "كيفية إدراج مقطع فيديو على YouTube في مدونة ، وتعليم فيديو" مع فيديو مدمج ، كما تم إعادة إنتاج الموقف.
هكذا. حسنا. في الوقت الحالي ، لدينا هذه المعلومات بين أيدينا: يؤدي وجود فيديو YouTube مدمج على الصفحة إلى تحميل بعض البرامج النصية من google.com ، وتؤدي هذه بدورها إلى خروج الكاميرا.
حسنا ، مزيد من الحفر.
بدس في أدوات تصحيح أخطاء المستعرض ، وجدت أن ملفقًا غريبًا ومحيرًا بشكل كبير (لدرجة أنه لا يمكن معالجة أي من مزيل deobfuscator الذي جربته من نتائج البحث) ، تم تحميله من www.google.com (وتحديداً www ) غامض (معرفة Google ، يمكنني أن أفترض أنه بعد فترة من الوقت سوف يختفي هذا البرنامج النصي وسيتم وضع نص برمجي مختلف (ولكن غير قابل للقراءة على حد سواء) في مكانه ، لذا ، إليك الرمز الخاص به ، فقط في حالة).
نظرة سريعة على البرنامج النصي لا تظهر أي إشارات إلى الكاميرا هنا ، والغطس في تصحيح الأخطاء بشكل أعمق وتفسير ما يفعله ليس هناك وقت وفرصة (على الرغم من أنه إذا أراد أي من القراء قراءته ، يمكنك القيام بذلك).
نحاول الدخول من الجانب الآخر:
شخصياً ، لديّ هاتف بدون كاميرا خروج ، لذلك من السهل للغاية جذب نداء إليها لا أستطيع. لكن يمكنني توصيله عبر USB وجعل adb logcat | grep -C5 camer adb logcat | grep -C5 camer ( grep - لأنه بخلاف ذلك ، يوجد الكثير من القمامة غير المناسبة لكل عطس ، بما في ذلك النقر على الشاشة بإصبعك أو تحريك الهاتف في الفضاء). ماذا أفعل فعلا ...
لذا ، المحاولة الأولى: أذهب إلى المواقع المختبرة ، و ... لا شيء!
تزحف الفكرة إلى أن المشكلة تبدو ، في النهاية ، في مكان ما بجانب المستخدم.
بالتوازي مع هذه العملية ، نحن نناقش الموقف في الدردشة التقنية المذكورة أعلاه من RosKomSvobody. بعد مرور بعض الوقت ، تلقى أحد المشاركين الرأي القائل بأن متصفحات الجوال ماكرة: فهم لا يطلبون دائمًا حقوق وصول عالمية إلى الكاميرا ، وإذا لم يتم منحهم ، فقد لا يسألون في بعض الحالات!
أذهب إلى إعدادات التطبيق وأرى ذلك ، نعم ، لم أقم بتعيين أذونات لكاميرا Firefox. أقوم بتشغيله ، والتحقق من ذلك مرة أخرى ، ورؤية ورقة لبضع "شاشات" مع ما يلي:
آها! أناشد الكاميرا ، فلا يزال هناك!
علاوة على ذلك ، مباشرة بعد السطر "الحصول على معلومات الجهاز" ، هناك فتحة واضحة لجهاز الكاميرا:
12-12 17:10:14.734 751 6924 I QCamera : <HAL><INFO> int qcamera::QCamera2Factory::cameraDeviceOpen(int, struct hw_device_t **): 405: Open camera id 0 API version 256
أتحقق من ذلك مع Chrome ، ويتم إعادة إنتاج كل شيء: إذا تم سحب حقوق الكاميرا ، ثم في سجل "صمت الحملان" ، وإذا تم إصدارها - تظهر نفس ورقة الوصول إلى الكاميرا مع غطاء حليب الزعفران.
إذن المشكلة هي:
أ) غير محلي للمستخدم ،
ب) ليست خاصة بالمتصفح.
ومن المثير للاهتمام ، خلال كل هذه الأحداث ، لم يحاول أي من هذه المتصفحات أن يقول كلمة عن طلب إذن للوصول إلى الكاميرا من أي من المواقع المشاركة في الاختبار (وبالفعل من YouTube و google.com أيضًا).
في ضوء ما سبق ، ولدت فرضيتان لي:
- إما أن الأخ الأكبر يراقبك ، أو
- يستدعي هذا البرنامج النصي المموه في الواقع جزءًا من واجهة برمجة تطبيقات الكاميرا في المتصفحات لبصمة المستخدم ، لكنه لا يصل إلى الكاميرا مباشرةً. لذلك ، لا يوجد طلب للوصول إليه (ومع ذلك ، إذا نظرت إلى الفيديو في بداية المقالة ، يمكنك رؤية كيف يومض المصباح بين فتح وإغلاق الكاميرا ، مما يجعلك تفكر).
ومع ذلك ، تلتزم المتصفحات بالمنطق هنا: "عند تهيئة واجهة برمجة تطبيقات الكاميرا ، إذا لم يكن هناك إمكانية للوصول إلى الكاميرا ، فإننا لا نفعل أي شيء (حتى أننا لا نطلبها حتى تكون هناك حاجة حقيقية) ، وإذا كان هناك حاجة ، فإننا نقوم بتهيئة الكاميرات ونتحقق من الأجهزة الموجودة لدينا هناك وما يمكنهم "(والتي يبدو أن الجهاز" اكتشف ").
يبدو أن البائع الهاتفي للمستخدم لم يخترع بشكل خاص في اختراع عكازات البرامج على الكاميرا وحل المشكلة ببساطة (التي احتراما من أجلها): عند الوصول إلى الكاميرا ، تغادر. عند فتح الجهاز وتبادل البيانات معه ، يومض المصباح الثنائي.
في المجموع ، اتضح أن المشكلة ليست قاتلة كما بدا في البداية ، ونأمل ألا يلتقط أحد الصور (رغم أن هذا ، مع ذلك ، ما زال "غير دقيق" ، لأن كفاءتي في معرفة لا تعد رموز مصدر Android كافية لضمان عدم وضوح الغموض في هذه الحالة ، حيث تتحدث ورقة المكالمات إلى الكاميرا في logcat عن الصورة التي تم التقاطها ، والتي - فقط عن الحديث الصغير عن التطبيق مع الجهاز).
ومع ذلك ، فإن الحقيقة المتمثلة في أن فتح أي صفحة ويب تكون هناك إطار ifram مع الفيديو المدمج من يوتيوب يؤدي إلى دعوة إلى الكاميرا (وحتى نوع من المفاوضات مع الجهاز) لا يزال محزن إلى حد ما في سياق الخصوصية ويبدو لي أنه لا يزال يستحق المناقشة من قبل المجتمع.
ما رايك
PS باللغة الإنجليزية ، تم نشر هذا المنشور على "متوسط" .
UPD : بفضل harachians berez و ksil لحزمة من التصحيحات الإملائية (وإلا ، عندما تقرأ وتعيد كتابة أجزاء مختلفة من النص ، كالعادة ، "تصحيح بعض الأخطاء ، جلب مجموعة من الآخرين")