Дослідники натрапили на уразливість програми Google Camera для смартфонів Pixel 2 XL та Pixel 3. Окрім цього, уразливість була помічена в програмі Samsung Camera. При чому, що ніяких спеціальних дозволів на Android не було додано окрім одного. Від користувача потрібен був лише дозвіл на доступ до пам’яті пристрою.
Google Pixel 2 XL
Як доказ концепції, Checkmarx продемонструвала уразливість, створивши штучний додаток погоди для Android, який вимагав доступ лише до пам’яті пристрою. Як і в інших зловмисних додатках, в цьому використовується двостороння стратегія. Додаток сам по собі нешкідливий і не запускає Google Play Protect. Після того як ви встановите його, програма запускає зв’язок з віддаленим сервером і чекає подальших інструкцій. Закриття програми не блокує з’єднання з сервером. Після цього, зловмисник може зробити з вашим смартфоном наступне:
- Знімати фотографії та відео за допомогою програми камери смартфона та завантажувати усі дані на віддалений сервер. Все це можливо без попередження користувача, оскільки звук затвора камери вимкнено.
- Визначати, коли користувач здійснює дзвінок, використовуючи сенсор наближення пристрою і записувати аудіо обох співрозмовників.
- Записувати відео користувача одночасно із захопленням звуку під час телефонного дзвінка.
- Отримувати необмежений доступ до всіх фотографій та відео на пристрої.
- Знімати GPS-теги з усіх фотографій на пристрої. Це працює лише тоді, коли користувач увімкнув це через додаток камери. Дані можуть бути використані для створення карти історії розташування користувача.
- Усе перелічене вище можливо виконувати навіть тоді, коли пристрій заблоковано.
Google та Samsung офіційно не підтверджували про уразливість в Android-смартфонах до кінця серпня
У липні цього року Checkmarx виявила уразливість в смартфонах Google. Спочатку Google встановила серйозність уразливості як помірну, і вона була підвищена до високого рівня після додаткових відгуків від Checkmarx. У серпні Google визнала, що це вплинуло на широкий спектр виробників смартфонів, про які було незабаром повідомлено.
У Google заявляють, що проблема була вирішена на пристроях компанії, які зазнали впливу, через оновлення додатка Google Camera в магазині Google Play у липні 2019 року. Того ж місяця компанія також випустила виправлення для всіх постраждалих смартфонів від інших виробників. На сьогодні проблема, як видається, виправлена, але невідомо, скільки користувачів втрачає свої дані в результаті.
0 комментариев
Добавить комментарий