Новости и события » Hi-Tech » Ошибка приложений камеры в Android позволяет записывать видео без разрешения

Ошибка приложений камеры в Android позволяет записывать видео без разрешения

Ошибка приложений камеры в Android позволяет записывать видео без разрешения

Приложения Android могут предоставлять различные свои функции вроде возможности делать снимки другим приложениями на устройстве, но это требует получения необходимых разрешений. Исследователи из Checkmarx в координации с Google и Samsung раскрыли информацию об уязвимости, которая позволяла приложениям делать снимки, записывать видео и определять местоположение устройства, даже если у них нет на это разрешений. Известно, что уязвимость, известная как CVE-2019-2234, затрагивает все приложения Google Camera и Samsung Camera до июля 2019 года.

Проанализировав приложение камеры в Google Pixel, исследователи Checkmarx обнаружили многочисленные функции, которые можно объединить, чтобы манипулировать камерой устройства, делать снимки и записывать видео. Обычно приложение должно иметь разрешения android.permission.CAMERA, android.permission.RECORD_AUDIO, android.permission.ACCESS_FINE_LOCATION и android.permission.ACCESS_COARSE_LOCATION для записи видео, фотографирования или доступа к местоположению устройства.

Специалисты Checkmarx обнаружили, что приложения, имеющие разрешение просто на хранение данных (оно дает ПО доступ к накопителю устройства и карте памяти) с помощью открытых функций приложения "Камера" могут осуществлять съемку фото и видео без получения дополнительных разрешений.

"Вредоносное приложение, работающее на смартфоне Android, которое может считывать данные с карты SD, не только имеет доступ к прошлым фотографиям и видео, но и с помощью этой новой методологии атаки может быть направлено на инициирование (снятие) новых фотографий и видео по запросу. Но это еще не все. Так как метаданные GPS обычно встраиваются в фотографии, злоумышленник может воспользоваться этим фактом, чтобы также определить местонахождение пользователя, сделав фотографию или видео и проанализировав соответствующие данные EXIF ", - написали специалисты.

Это большая проблема, поскольку очень многие приложения регулярно запрашивают разрешение на доступ к накопителю - например, игры, потоковые службы и даже приложения с прогнозом погоды. Согласно отчету Checkmarx, это разрешение является наиболее распространенным на платформе Google Android: "Существует большое количество приложений с законными вариантами использования, которые запрашивают доступ к этому хранилищу, но не проявляют особого интереса к фотографиям или видео. Фактически это одно из самых распространенных запрашиваемых разрешений".

Что еще хуже, исследователи создали работающее приложение, которое маркируется под приложение погоды, но тихо отправляет записи изображений, видео и телефонных звонков обратно на демонстрационный сервер, в том числе по удаленному запросу. В общем, уязвимость весьма опасна, поскольку она позволяет обычным приложениям, не имеющим особых разрешений, следующее:

  • делать снимки и видеоролики, даже если телефон заблокирован или экран выключен;
  • получать данные о местоположении GPS из сохраненных фотографий;
  • слушать двусторонние разговоры, даже когда записывается видео и фотографии;
  • выключать звук затвора камеры, чтобы жертва не слышала съемку;
  • передавать старые видео и фотографии, хранящиеся на карте памяти.

Checkmarx раскрыла эту уязвимость Android 4 июля 2019 года, а к 23 июля Google пометила эту уязвимость высоким приоритетом. 1 августа компания подтвердила подозрения исследователей о том, что уязвимость затронула приложения камер других производителей смартфонов Android, и выпустила заплатку CVE-2019-2234. По словам Google, эта уязвимость в приложении "Камера" была исправлена?? в июле 2019 года с помощью обновления в Google Play Store, и заплатки были выпущены для других поставщиков. Всем пользователям настоятельно рекомендуется перейти на последнюю версию Android и убедиться, что используется обновленное приложение "Камера".

Ошибка приложений камеры в Android позволяет записывать видео без разрешения

Ошибка приложений камеры в Android позволяет записывать видео без разрешения

Ошибка приложений камеры в Android позволяет записывать видео без разрешения

Android Samsung


Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх