Камера на смартфонах Android OS позволяла шпионить за пользователями

20-11-2019 09:40

Уязвимость в системе безопасности позволяла любым приложениям управлять родным приложением «Камера» в операционной система Android без необходимых разрешений со стороны пользователя, в том числе снимать фото. 

Об этом рассказал в статье глава отдела безопасности компании Checkmarx Эрез Ялон.

Ялон обнаружил такие уязвимости в приложениях «Камеры» разработки Google и Samsung. Пользователю достаточно выдать приложению разрешение на доступ к памяти устройства. 

Чтобы продемонстрировать использование уязвимости, Ялон создал фальшивое приложение погоды, которое запрашивает единственное разрешение у пользователя — на доступ к памяти.

Само по себе приложение безвредно и не блокируется системой безопасности Google Play Protect. Но закрытие приложения не обрывает соединение с сервером, позволяя хакеру отправлять необходимые команды.

После этого хакер мог даже на заблокированном смартфоне:

cнимать фото и видео с помощью камеры смартфона, а затем загружать на удалённый сервер. Пользователь этого не заметит, поскольку звук срабатывания «затвора» будет отключен;

c помощью датчика приближения определять, что пользователь говорит по телефону, а затем записывать, что говорят оба собеседника;

записывать видео пользователя во время звонка, в дополнение к звуку;

получить неограниченный доступ к фото и видео на устройстве;

получить метки GPS со всех фото на устройстве, если пользователь разрешил их приложению камеры. Затем эти данные могли использоваться для истории перемещений пользователя.

Checkmarx сообщила о найденной уязвимости Google в июле 2019 года. Google не сразу, но признала, что уязвимость охватывает широкое число производителей смартфонов.

Это произошло во второй половине августа, затем производителей оповестили об опасности. В самом конце августа Samsung признала наличие уязвимости на своих устройствах. 

В ноябре Google и Samsung одобрили публикацию. По словам Google, она исправила уязвимость на собственных устройствах в июле, а также отправила исправление всем затронутым партнёрам. 

Фото: mosmonitor.ru

Loading

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...