21:49
1/10/2012

PlaceRaider to złośliwa aplikacja na telefony z Androidem. Udaje kolejny program do przerabiania zdjęć, a tak naprawdę ukradkiem fotografuje wnętrze twojego domu, a następnie wysyła zdjęcia na zewnętrzny serwer gdzie budowany jest model mieszkania w trójwymiarze.

PlaceRaider narzędziem nowoczesnych złodziei?

Za PlaceRaiderem na szczęście nie stoją złodzieje, a studenci, którzy w ramach współpracy z amerykańską armią wykorzystali żyroskopy, kamery i odbiorniki GPS wbudowane we współczesne smartphony do stworzenia nowoczesnego “tajnego” urządzenia szpiegowskiego.

Aplikacja PlaceRaider jest bardzo sprytna w swoim działaniu. Udaje program do przeróbki zdjęć (dlatego nikogo nie dziwi prośba o uprawnienia do aparatu w trakcie instalacji), ale tak naprawdę, PlaceRaider wykonuje “po cichu” serię zdjęć, które następnie zestawia ze sobą w model 3D, wizualizujący wnętrze domu “ofiary”. Świetne narzędzie nie tylko dla złodziei ale również dla żołnierzy wykonujących rekonesans.

PlaceRaider - przykładowa rekonstrukcja w 3D

PlaceRaider – przykładowa rekonstrukcja wyglądu mieszkania w 3D na podstawie zebranych dwuwymiarowych zdjęć

Android wymaga, aby w trakcie robienia zdjęć zawsze pokazywać widok z kamery, ale okazuje się, że API można oszukać poprzez inicjalizację pustego obiektu Surface. Z kolei dźwięk migawki aparatu PlaceRaider obchodzi w ten sposób, że przed zrobieniam zdjęcia ścisza telefon, po wykonaniu fotki, przywraca głośność do oryginalnego poziomu.

Budowa modelu 3D na podstawie wykonanych zdjęć jest możliwa dzięki odczytaniu w trakcie robienia fotografii takich cech telefonu jak jego pozycja oraz orientacja w przestrzeni (sensory potrafią odczytywać te dane z częstotliwością 100Hz). Warto wspomnieć, że ze względów wydajnościowych, model 3D nie jest budowany na telefonie, ale na serwerze atakującego. PlaceRaider na smartphonie wykonuje jedynie wstępną selekcję zdjęć (odrzucając np. poruszone, zbyt ciemne zdjęcia) a całą reszte wysyła na zewnętrzne serwery i dopiero tam budowany jest z nich trójwmiarowy model.

PlaceRaider - model można przybliżać

PlaceRaider – model 3D można przybliżać

Na marginesie, w przypadku iPhone’a atak mógłby być cięższy do przeprowadzenia, bo ten smartphone nie pozwala na pracę aplikacji “w tle” (czyli potajemne robienie zdjęć “uśpionym” telefonem).

Kieszeń najlepszą ochroną przed PlaceRaiderem?

Każdy kto nosi w domu telefon w kieszeni raczej nie ma się czego obawiać — zasłonięty obiektyw nie zdradzi wielu informacji o tym jak wielka plasma stoi w salonie. Chyba, że atakując zadzwoni do ofiary i sprowokuje wyjęcie telefonu z kieszeni a następnie nerwowy spacer po całym, interesującym go pomieszczeniu.

Jako metodę ochrony przed PlaceRaiderem, jego twórcy podają kilka rozwiązań. Jednym z nich jest wprowadzenie polityk zakazu wnoszenia telefonów do niektórych miejsc, a drugim wprowadzenie lepszego systemu uprawnień w Androidzie (oraz np. wyeliminowanie możliwości ściszenia odgłosu migawki aparatu).

Smartphone, straszna rzecz…

Jak widać, smartphony, z którymi tak chętnie się nie rozstajemy, z racji swojego nowoczesnego wyposażenia są coraz bardziej świadome otaczającego je środowiska i powoli przeobrażają się w całkiem zaawansowane urządzenia “szpiegowskie”. Wspomnijmy tylko, że położone na stole obok klawiatury mogą wykrywać wibracje pochodzące od wciskania klawiszy i na tej podstawie sondować, jakie hasło wpisał użytkownik a często wystarczy po prostu trzymać je w ręce w trakcie wprowadzania hasła… Ciekawe jakie jeszcze zastosowania smartphone’a zostaną odkryte w kontekście bezpieczeństwa, niekoniecznie komputerowego.

Przeczytaj także:

43 komentarzy

Dodaj komentarz
  1. Dlatego warto mieć na smartfonie aplikacje takie jak DroidWall. Osobiście uprawnienia do korzystania z sieci mają u mnie mapy, vCommunicator, przeglądarka i gmail.

    • Wspomniałbym jeszcze o PermissionsDenied ;)

  2. … A jak “przekabluje” zawarość mojego barku i lodówki to dopiero mnie zdenerwuje…

  3. Gdyby aplikacja jawnie robiła mi model chaty, eksportowała do FBX razem z wszystkimi teksturami to kupiłbym to nawet za 30zł :D

    Ale prawda, Androidy pozwalają na zbyt dużo – czasem zaleta a czasem wada. Ja przymusowo na jakiś czas musiałem rozstać się z HTC WFS na rzecz starego SE W880i, smartfonik wrócił i… jakoś nie zamierzam się przesiadać z powrotem.

    • Autodesk 123d Catch (0$)

  4. Polityk? W języku polskim może być “zasada”, “reguła”, “nakaz/zakaz”. Już w pracy nie można tego wytrzymać, a tu jeszcze na niebezpieczniku ponglish…

    • Język to prędkość światła i układy scalone, polska język to jakaś legacy

    • Tej rewolucji już niestety nie zatrzymamy :( Pozostaje ucieczka w literaturę napisaną przed erą internetu ;)

    • Do takich rzeczy jak “komputer” też kiedyś podchodzili sceptycznie. Albo nawet wcale.

    • Według Arystotelesa słowo politycos oznacza “sztukę rządzenia, której celem jest dobro wspólne”.

      Tak jak wiele innych słów greckich czy łacińskich słowo to od dawna funkcjonuje w języku polskim. W książkach Henryka Sienkiewicza nawiązujących do staroplszczyzny, można nawet spotkać sformułowanie “wyraził się niepolitycznie” – czyli nierozsądnie, nietaktownie.

      To przykre że w dzisiejszych czasach polityka utożsamiana jest głównie z bezwzględną walką o władzę a nie z dbałością o dobro wspólne. Może określenie “polityka bezpieczeństwa” pomoże nam w powrocie do źródeł? Oczywiście zdaję sobie sprawę że tym razem słowo polityka wkracza do polszczyzny za pośrednictwem języka angielskiego ale nie jest to nowe zjawisko. Podobnie słowo “ring” zostało dwukrotnie asymilowane do naszego języka. Raz w spolszczonej formie “rynek” a po wielu latach w formie oryginalnej w terminologii sportowej. Czekam na ostre komentarze – ring wolny :)

  5. PDroid załatwi sprawę uprawnień.
    https://play.google.com/store/apps/details?id=com.privacy.pdroid&hl=en

    • PDroid działa tylko pod 2.3, to nie jest zbyt dobre rozwiązanie jeśli chodzi o bezpieczeństwo.

  6. Najprostszym i najskuteczniejszym zabezpieczeniem, byłoby użycie zwykłego dekielka na obiektyw. Szkoda, że telefony właściwie takiej możliwości nie mają.

    • Jak to nie? Taśma izo i lecim na Szczecin!

    • U mnie w Nokii N900 jest fabrycznie wbudowana klapka zasłaniająca obiektyw.

    • Wojtek, posiadając Windowsa w telefonie to że ktoś ci chatę sfotografuje to twoje najmniejsze zmartwienie…

    • Darek, Maemo to nie windows ;-)

  7. Niedługo w instrukcji obsługi znajdzie się: “Producent ze względów bezpieczeństwa zaleca używanie telefonu tylko w ciemności, na gumowej podkładce, w ołowianym fartuchu, aluminiowej czapeczce i po podłączeniu się do uziemienia. A i tak cokolwiek innego zrobisz może być użyte przeciw Tobie”

    • Raczej bym się spodziewał od producenta: “Nigdy nie chowaj telefonu do kieszeni, i upewnij się, że masz zawsze czystą soczewkę w telefonie” sorry smartfonie

  8. “(oraz np. wyeliminowanie możliwości ściszenia odgłosu migawki aparatu).”
    To akurat nic nie da bo Android pozwala na podgląd live z kamerki przy którym nie ma żadnych odgłosów ;] Ot dostajemy odświeżany obraz z tym co kamera w danym momencie widzi (przy podstawowej obróbce i transferze wifi na serwer w sieci można bez trudu uzyskać 20fps, przy czym lepsze komórki dadzą lepszy wynik) – jakość jak na zdjęciach i jedynie problemy z ostrością przy gwałtownym poruszaniu mogą wystąpić.

  9. Ta syntetyczna migawka to w ogóle chamstwo – kupujesz nowoczesne technologie, żeby skwierczały jak stary zenit?

    • tego oczekuje przeciętna pani irenka, która wywaliła wszystkie piniondze na smartfona i teraz chce słyszeć jak “chodzi” migawka w jej patefonie.

    • ta syntetyczna migawka jest po to, żeby fotografowany wiedział, że jest fotografowanym

    • … i wyzwolić emocje negatywne u dresa, który akurat znalazł się w kadrze zdjęcia robionego znajomym/krajobrazowi, a w danej chwili czuje się wyjątkowo niefotogeniczny.

      Aparaty cyfrowe – również te wbudowane w telefony/smartfony – mają kilka dyskretnych metod powiadamiania fotografa o pomyślnym wykonaniu zdjęcia. Nie potrzeba mi oblężenia przewrażliwionych debili przekonanych, że jak usłyszeli z mojego kierunku tę imitację migawki, to z pewnością to właśnie im “bezprawnie” cyknąłem zdjęcie i żądają jego odnalezienia i usunięcia.

      Brak możliwości wyłączenia tego dźwięku to idiotyzm. A jeśli gdzieś faktycznie jest zakaz robienia zdjęć, to proszę o zacytowanie podstawy prawnej tego zakazu.

    • @@wojtekm: przecie możesz to w Androidzie wyłączyć. Nawet Cyanogenmod ma taki wbudowany ficzer :P

    • Czytałem gdzieś, że to jest obowiązek producenta, aby przy robieniu zdjęcia był dzwięk, jakieś regulacja, ale nie mogę teraz znaleźć źródła. U mnie nie da się wyłączyć tego dzwięku. Tzn na pewno się da (grzebiąc w romie), ale ja nie umiem.

  10. Aż się przypomina technologia telefonu jako sonaru, która była pokazana w Dark Knight…

  11. A mi wystarczy etui na telefon, mogą sobie foty strzelać :P

  12. W chwili obecnej Aden z programow AV nie jest dostosowany do ochrony Androida. Wszystkie bazuja jedynie na sygnaturach… a Andrwk to rozbudowany system i mozna z nim zrobic wszystko. Dziwne ze nawet FIREWALL-a zadnego nie ma w AV…

    • A droidWall?

  13. Tutaj jest to opisane w nieco bardziej zastraszający sposób.
    Stoi za tym wojsko !!
    http://gizmodo.pl/placeraider-wojskowy-soft-ktory-zmapuje-twoje-zycie/

    I komu tu wierzyć :D

  14. Wystarczyłoby zamknąć w systemie możliwość wyciszenia dźwięku bez zapytania o zgodę. To jednak wymaga uszczelnienia systemu przez Google. Oczywiście poza tym trzeba rozważnie instalować apki, mieć pakiet internet security (roczna licencja nie jest przesadnie droga, w Google Play jest kilka sensownych propozycji tego typu programów) i rozważnie nadawać apkom uprawnienia a w razie zrootowania lepiej zakupić Superuser Elite pozwalający żądać podania kodu PIN przy nadawaniu praw roota (przynajmniej taki rozszeżony root jest dostępny dla Samsungów). Oczywiście kłania się weryfikowanie aplikacji przed wpuszczeniem do sklepu. W tej dziedzinie Google nie dorównuje Apple. Cóż otwarte oprogramowanie ma zalety, ale też wady.

    • hatetepe -> pdos.csail.mit.edu/scigen/ polecam!

  15. “Z kolei dźwięk migawki aparatu PlaceRaider obchodzi w ten sposób, że przed zrobieniam zdjęcia ścisza telefon, po wykonaniu fotki, przywraca głośność do oryginalnego poziomu.”

    Jak dobrze,że w Motorola Defy, choćby się chcialo zrobić zdjęcie po cichu, dźwięk przygotowania aparatu zawsze slychać.

    • Nawet nie przygotowania, każdy ruch autofocusa wywołuje głośny dźwięk…

  16. Ostro. Znając wielki talent hobbystów na naszym świecie, za niedługo tego typu aplikacje przeżyją mały boom. Wolałbym jednak, żeby niektóre rzeczy dziejące się w moim domu pozostały prywatne. ;-D Mam nadzieję, że nie będzie niebawem trzeba budować specjalnych konstrukcji ścian w domach, żeby nastolatek mieszkający u sąsiadów nie mógł zdobyć moich haseł lub ciekawego zdjęcia mojej córki.

  17. Niech się lepiej przyznają, że mają aplikację która potajemnie włącza mikrofon i robi kompresję głosu w locie do mp3, aac czy innego formatu i wysyła na serwery agencji…

  18. Wylutować mikrofony z laptopów, kamerki rozłączam a jak się nie da to taśmą zakleić.

    :-)

  19. Najlepsze wyjście, to patrzeć, co się instaluje. Rzeczy, do których nie mamy pewności, wywalać.

  20. […] temu opisaliśmy aplikację na Androida, która pod pretekstem upiększania zdjęć ukradkiem fotografowała pomieszczenia i modelowała je w […]

  21. […] zainstalowała ofiara na swoim telefonie (bo myślała, że to inna użyteczna aplikacja, por. aplikacja ukradkiem fotografująca twój dom) lub którą ktoś zainstalował ofierze w momencie, w którym spuściła ona swój telefon z oczu […]

  22. […] Analiza aplikacji jeszcze trwa, ale pierwsze wyniki wskazują na to, że aplikacja to trojan, który m.in. ma służyć do wykradania treści SMS (m.in. banki przesyłają je użytkownikom w ramach potwierdzenia transakcji, a serwisy społecznościowe traktują takie SMS-y jako dwuskładnikowe uwierzytelnienie). Aplikacja pozwala także na wysyłanie SMS-ów (być może chodzi o zapisywanie ofiary na usługi Premium SMS) oraz prosi o uprawnienia dostępu do kamery i mikrofonu (por. Telefon szpieg, ukradkiem sfotografuje twój dom i pokaże go złodziejowi). […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: