Android-Sicherheitsanfälligkeit ermöglicht Hackern, Sie über die Kamera Ihres Telefons auszuspionieren

Eine Sicherheitsanfälligkeit in Googles Kamera-Apps ermöglichte es Hackern, heimlich Videos aufzunehmen und Fotos zu machen, selbst wenn das Telefon gesperrt ist, so ein neuer Bericht von Checkmarx, die die Schwachstelle entdeckt haben.

Der Fehler, der als CVE-2019-2234 bezeichnet wird, wurde vom Checkmarx-Sicherheitsteam entdeckt und soll mit Problemen beim Umgehen von Berechtigungen verbunden sein.

In Android müssen Drittanbieter-Apps, die installiert werden, von Google die Erlaubnis anfordern, um auf die Fotos, Videos, das Mikrofon sowie die Standardkamera-App des Telefons zuzugreifen. Die Schwachstelle ermöglichte es jedoch unbefugten Apps, Videos aufzunehmen, Fotos zu machen, Audio aufzunehmen und GPS-Standorte zu protokollieren, indem sie einfach um Erlaubnis baten, auf den Speicher eines Geräts zuzugreifen.

Sobald der Benutzer der App die Erlaubnis erteilte, auf den Speicher zuzugreifen, aktivierte der Fehler die Kamera und das Mikrofon ohne Erlaubnis oder Wissen des Benutzers. In bestimmten Angriffszenarien ermöglichte die Schwachstelle Hackern, die Kontrolle über den Speicher des Geräts zu erlangen sowie auf GPS-Metadaten zuzugreifen, die in den EXIF-Daten von Fotos und Videos gespeichert sind.

Die Schwachstelle wurde hauptsächlich ausgelöst, um die Google Kamera-App auf Pixel-Geräten und die Samsung Kamera-App, die auf Galaxy-Geräten vorinstalliert ist, anzugreifen.

Um ihre Behauptung zu testen, verwendeten die Forscher das Google Pixel 2 XL und Pixel 3 und „fanden mehrere besorgniserregende Schwachstellen, die aus Problemen beim Umgehen von Berechtigungen resultieren.“

„[O]ur researchers determined a way to enable a rogue application to force the camera apps to take photos and record video, even if the phone is locked or the screen is turned off. Our researchers could do the same even when a user was is in the middle of a voice call,“ schrieb der Forscher Erez Yalon in einem Blogbeitrag.

„Nach einer detaillierten Analyse der Google Kamera-App fand unser Team heraus, dass ein Angreifer durch Manipulation spezifischer Aktionen und Intents die App steuern kann, um Fotos zu machen und/oder Videos aufzunehmen, durch eine bösartige Anwendung, die keine Berechtigungen dafür hat.

„Zusätzlich fanden wir heraus, dass bestimmte Angriffszenarien böswilligen Akteuren ermöglichen, verschiedene Speicherberechtigungsrichtlinien zu umgehen, wodurch sie Zugriff auf gespeicherte Videos und Fotos sowie auf GPS-Metadaten erhalten, die in Fotos eingebettet sind, um den Benutzer zu lokalisieren, indem sie ein Foto oder Video aufnehmen und die entsprechenden EXIF-Daten analysieren. Diese gleiche Technik galt auch für die Samsung Kamera-App.“

Sowohl Google als auch Samsung wurden im Juli von Checkmarx über die Android-Schwachstelle informiert, die von ihnen im selben Monat über ein Update im Play Store behoben wurde.

„Wir schätzen es, dass Checkmarx uns darauf hingewiesen hat und mit Google und Android-Partnern zusammengearbeitet hat, um die Offenlegung zu koordinieren. Das Problem wurde auf betroffenen Google-Geräten über ein Update im Play Store für die Google Kamera-Anwendung im Juli 2019 behoben. Ein Patch wurde auch allen Partnern zur Verfügung gestellt,“ sagte Google in einer Erklärung.

Samsung, das Patches veröffentlicht hat, um alle potenziell betroffenen Gerätemodelle zu beheben, sagte in einer Erklärung: „Wir schätzen unsere Partnerschaft mit dem Android-Team, die es uns ermöglicht hat, dieses Problem direkt zu identifizieren und zu beheben.“

Checkmarx weist darauf hin, dass diese Schwachstelle nicht nur auf Googles Pixel-Telefone beschränkt ist, was bedeutet, dass auch andere Android-Smartphone-Marken potenziell anfällig sein könnten.

Um sich vor dieser Schwachstelle zu schützen, wird empfohlen, die neueste Version des Android-Betriebssystems und der Kamera-App auszuführen. Es wird auch empfohlen, die auf Ihrem Smartphone installierten Apps regelmäßig zu aktualisieren.

Auch lesen - Beste kostenlose Antivirensoftware für Android-Smartphones