Уязвимость безопасности камеры Android

Природа Android с открытым исходным кодом всегда была одним из ее лучших преимуществ. Тем не менее, это обоюдоострый меч, так как он часто приводит к дырам в безопасности  размером с футбольное поле. Исследовательская фирма по безопасности Checkmarx сделала тревожное открытие которое затронуло несколько смартфонов Google и Samsung. Уязвимость позволила хакерам контролировать приложения камеры смартфона, скрытно делать фотографии, записывать видео записывать разговоры определять свое местоположение и многое другое.

Ответственные за приложения Google и Samsung

Исследователи наткнулись на уязвимость в приложении камеры Google для Pixel 2XL и Pixel 3. Это позволяет злоумышленникам управлять приложением Google Camera и Samsung Camera с помощью приложения не предоставляя ему никаких специальных разрешений. Пользователь только должен был предоставить ему разрешение на доступ к хранилищу что позволило ему получить доступ к содержимому внутренней памяти и SD-карты.

В качестве подтверждения концепции Checkmarx продемонстрировала уязвимость, создав приложение для искусственной погоды, которое запрашивало только доступ к хранилищу на устройстве. Как и другие теневые приложения, в этом также используется двусторонняя стратегия. Приложение само по себе безвредно и не запускает Google Play Protect. После того, как вы его установили, приложение устанавливает соединение с удаленным сервером и ждет дальнейших инструкций. Закрытие приложения не закрывает соединение с сервером, позволяя злоумышленнику выдавать команды по своему усмотрению. Как только это будет сделано вот что злоумышленник может сделать со своим смартфоном:

  1. Делайте снимки и видеоролики с помощью камеры смартфона и загружайте их на удаленный сервер. Все это возможно без предупреждения пользователя, так как звуки затвора камеры отключены.
  2. Определите, когда пользователь находится на вызове, используя датчик приближения устройства и запишите звук как отправителя так и получателя.
  3. Записывайте видео пользователя одновременно с записью звука во время телефонного звонка.
  4. Получите неограниченный доступ ко всем фотографиям и видео на устройстве.
  5. Захват GPS-теги со всех фотографий на устройстве. Он работает только тогда, когда пользователь включил его через приложение камеры. Затем данные могут быть использованы для создания карты истории местоположений пользователя.
  6. Все это возможно, даже если устройство заблокировано.

Оставить комментарий

avatar
  Подписаться  
Уведомление о