Камера Android позволяет шпионить за сотнями миллионов пользователей
Руководитель отдела исследований безопасности компании Checkmarx Эрез Ялон (Erez Yalon) обнаружил в мобильных устройствах Google и Samsung ряд уязвимостей, объединенных под одним идентификатором CVE-2019-2234.
В ходе исследования безопасности камер в устройствах Google Pixel 2 XL и Pixel 3 команда специалистов Checkmarx обнаружила уязвимости в приложении "Камера" от Google, позволившие им управлять некоторыми функциями, не получив соответствующего разрешения.
В целом, CVE-2019-2234 позволяет любому приложению без соответствующего разрешения управлять приложением "Камера", в том числе снимать фото и видео, даже если устройство заблокировано, экран выключен, а пользователь разговаривает по телефону. По словам специалистов, помимо Google, проблема затрагивает и других производителей Android-устройств, в том числе Samsung.
Google ограничивает доступ приложений к чувствительным функциям, таким как камера, микрофон и геолокационные сервисы. Для получения доступа к ним требуется сначала получить соответствующее разрешение. Тем не менее, обнаруженная исследователями уязвимость позволяет обойти эти ограничения.
Приложение "Камера" в ОС Android обычно сохраняет фотографии на SD-картах, поэтому для доступа к ним другие приложения запрашивают доступ к SD-карте. "К сожалению, это разрешение имеет широкий спектр действия и предоставляет доступ к SD-карте в целом. Существует целый ряд легитимных приложений, запрашивающих доступ к хранилищу, хотя для работы им не требуются изображения и видео. По факту, это одно из самых запрашиваемых разрешений", - сообщили исследователи.
Именно это разрешение специалисты решили использовать в качестве вектора атаки. Как оказалось, если вредоносному приложению предоставить доступ к SD-карте, то оно не только получит доступ к фотографиям и видео, но благодаря уязвимости также заставит фото-приложение снимать новые фотографии и видео.
"Мы могли легко записывать голос как пользователя во время разговора, так и голос звонящего. Это нежелательная активность, поскольку приложение Google "Камера" не должно полностью контролироваться внешним приложением", - отметили исследователи.
Исследователи уведомили Google о проблеме в июле нынешнего года. Сначала компания сочла уязвимость средней опасности, но затем признала ее высоко опасной, зарегистрировала CVE и выпустила исправление.
