Androidのセキュリティ欠陥がハッカーにあなたの電話のカメラを使って監視させる

Googleのカメラアプリのセキュリティの抜け穴により、ハッカーは電話がロックされているときでも秘密裏に動画を録画したり、写真を撮ったりすることができると、脆弱性を発見したCheckmarxの新しい報告書によると述べています。

このバグはCVE-2019-2234と呼ばれ、Checkmarxのセキュリティ研究チームによって発見され、権限バイパスの問題に関連しているとされています。

Androidでは、サードパーティのアプリがインストールされると、Googleはアプリに電話の写真、動画、マイク、デフォルトのカメラアプリへのアクセスを要求する権限を求めます。しかし、この欠陥により、無許可のアプリがデバイスのストレージへのアクセスを求めるだけで、動画を録画したり、写真を撮ったり、音声を録音したり、GPS位置情報を記録することができました。

ユーザーがアプリにストレージへのアクセスを許可すると、バグはユーザーの許可や知識なしにカメラとマイクを起動します。特定の攻撃シナリオでは、この欠陥によりハッカーがデバイスのストレージを制御し、写真や動画のEXIFに保存されたGPSメタデータにアクセスできるようになります。

この欠陥は主にPixelデバイスで利用可能なGoogle Cameraアプリと、GalaxyデバイスにプリロードされているSamsung Cameraアプリをターゲットにするために引き起こされました。

研究者たちは、Google Pixel 2 XLとPixel 3を使用してその主張をテストし、「権限バイパスの問題から生じる複数の懸念すべき脆弱性を発見しました。」

「[O]私たちの研究者は、ロゲアプリケーションがカメラアプリを強制的に写真を撮ったり、動画を録画したりする方法を特定しました。たとえ電話がロックされていたり、画面がオフになっていてもです。私たちの研究者は、ユーザーが通話中であっても同じことができました。」と研究者のErez Yalonはブログ投稿で書いています。

「Google Cameraアプリの詳細な分析の結果、特定のアクションやインテントを操作することで、攻撃者は権限を持たないロゲアプリケーションを通じてアプリを制御し、写真を撮ったり、動画を録画したりできることがわかりました。

「さらに、特定の攻撃シナリオでは、悪意のある行為者がさまざまなストレージ権限ポリシーを回避し、保存された動画や写真、写真に埋め込まれたGPSメタデータにアクセスできることがわかりました。これにより、ユーザーを特定するために写真や動画を撮影し、適切なEXIFデータを解析することができます。この同じ手法はSamsungのCameraアプリにも適用されました。」

Checkmarxは、GoogleとSamsungにこのAndroidの欠陥について7月に通知し、彼らはその月にPlayストアの更新を通じて修正しました。

「Checkmarxがこれを私たちに知らせ、GoogleおよびAndroidパートナーと協力して開示を調整してくれたことに感謝します。この問題は、2019年7月にGoogle CameraアプリケーションへのPlayストアの更新を通じて影響を受けたGoogleデバイスで対処されました。すべてのパートナーにもパッチが提供されました。」とGoogleは声明で述べました。

Samsungは、影響を受ける可能性のあるすべてのデバイスモデルに対処するためのパッチをリリースしたと述べ、「私たちは、これを直接特定し、対処することを可能にしたAndroidチームとのパートナーシップを重視しています。」と述べました。

Checkmarxは、この欠陥がGoogleのPixel電話に限定されているわけではなく、他のAndroidスマートフォンブランドも依然として脆弱である可能性があることに注意しています。

この脆弱性から自分自身を守るためには、Androidオペレーティングシステムとカメラアプリの最新バージョンを実行することをお勧めします。また、スマートフォンにインストールされているアプリを定期的に更新することも推奨されます。

また読む- Androidスマートフォンのための最高の無料アンチウイルス