Уязвимость безопасности Android позволяет хакерам шпионить за вами с помощью камеры вашего телефона

Уязвимость в приложениях камеры Google позволила хакерам тайно записывать видео и делать фотографии даже когда телефон заблокирован, согласно новому отчету Checkmarx, который обнаружил эту уязвимость.

Ошибка, получившая название CVE-2019-2234, была обнаружена командой исследователей безопасности Checkmarx и, как сообщается, связана с проблемами обхода разрешений.

В Android, когда устанавливаются сторонние приложения, Google заставляет приложения запрашивать разрешение на доступ к фотографиям, видео, микрофону, а также к стандартному приложению камеры. Однако уязвимость позволила несанкционированным приложениям записывать видео, делать фотографии, записывать аудио и фиксировать GPS-координаты, просто запрашивая разрешение на доступ к хранилищу устройства.

Как только пользователь предоставлял приложению разрешение на доступ к хранилищу, ошибка активировала камеру и микрофон без разрешения или ведома пользователя. В определенных сценариях атаки уязвимость позволяла хакерам получить контроль над хранилищем устройства, а также получить доступ к метаданным GPS, хранящимся в EXIF фотографий и видео.

Уязвимость в первую очередь была нацелена на приложение Google Camera, доступное на устройствах Pixel, и приложение Samsung Camera, которое предустановлено на устройствах Galaxy.

Чтобы протестировать свое утверждение, исследователи использовали Google Pixel 2 XL и Pixel 3 и «обнаружили несколько вызывающих беспокойство уязвимостей, возникающих из-за проблем с обходом разрешений».

«[O] наши исследователи определили способ, позволяющий злонамеренному приложению заставить приложения камеры делать фотографии и записывать видео, даже если телефон заблокирован или экран выключен. Наши исследователи могли сделать то же самое, даже когда пользователь находился в процессе голосового вызова», - написал исследователь Эрез Ялон в блоге.

«После детального анализа приложения Google Camera наша команда обнаружила, что, манипулируя конкретными действиями и намерениями, злоумышленник может контролировать приложение, чтобы делать фотографии и/или записывать видео через злонамеренное приложение, которое не имеет разрешений на это.

«Кроме того, мы обнаружили, что определенные сценарии атаки позволяют злоумышленникам обходить различные политики разрешений на доступ к хранилищу, предоставляя им доступ к сохраненным видео и фотографиям, а также к метаданным GPS, встроенным в фотографии, чтобы определить местоположение пользователя, делая фотографию или видео и анализируя соответствующие данные EXIF. Эта же техника также применима к приложению камеры Samsung.»

Google и Samsung были проинформированы об уязвимости Android в июле Checkmarx, которая была исправлена ими в этом месяце через обновление Play Store.

«Мы благодарны Checkmarx за то, что они обратили на это наше внимание и работали с Google и партнерами Android для координации раскрытия информации. Проблема была решена на затронутых устройствах Google через обновление Play Store для приложения Google Camera в июле 2019 года. Патч также был предоставлен всем партнерам», - заявила Google в своем заявлении.

Samsung, который выпустил патчи для устранения всех потенциально затронутых моделей устройств, в своем заявлении сказал: «Мы ценим наше партнерство с командой Android, которое позволило нам выявить и решить эту проблему напрямую.»

Checkmarx отмечает, что эта уязвимость не ограничивается только телефонами Pixel от Google, что означает, что другие бренды смартфонов на Android также могут быть потенциально уязвимыми.

Чтобы защитить себя от этой уязвимости, рекомендуется использовать последнюю версию операционной системы Android и приложения камеры. Также рекомендуется регулярно обновлять приложения, установленные на вашем смартфоне.

Также читайте - Лучший бесплатный антивирус для смартфонов на Android