Выяснилась возможность слежки за людьми через камеру смартфона (видео)
В компании Checkmarx нашли способ заставить камеру смартфона принудительно делать снимки
Специалисты по кибербезопасности из компании Checkmarx опубликовали отчет о найденной ими уязвимости в операционной системе Android, сообщается в блоге компании.
Для этого необходима определенная последовательность действий и внутренних системных вызовов. Все, что после этого остается злоумышленнику - скачать полученные в результате ролики и фотографии. Это позволяет приложению не имеющему доступ к камере производить полноценный захват видео, звука, изображений окружающего смартфон пространства и отслеживать местоположение.
Чтобы проверить свою теорию, в Checkmarx создали приложение "погода" и продемонстрировали его работу. Программа выполняет все свои основные функции.
Но сразу после первого запуска она устанавливает фоновое защищенное соединение с удаленным сервером злоумышленника и начинает ждать команды. Оно продолжает работать и после закрытия приложения. Есть два режима работы - обычный, когда камера смартфона открывается на экране и скрытный, в котором камера будет включаться только если смартфон лежит "лицом вниз".
В результате эксперимента со смартфона Google Pixel 2XL под управлением последней версии Android 9 были получены геоданные из всех снимков, а также фото и видео в режиме реального времени.
Также специалисты по кибербезопасности продемонстрировали вполне реальный вариант шпионажа, когда человек разговаривает по телефону рядом с проектором, на который выводятся конфиденциальные данные. В момент разговора смартфон записывает видео, а после этого готовый файл злоумышленник благополучно сохраняет себе.
Информация об уязвимости предоставили компании Google четвертого июля. Спустя несколько дней, она получила высокий приоритет, а в августе ее зарегистрировали под кодом CVE-2019−2234. До конца месяца Checkmarx связались с ведущими производителями смартфонов, из которых, Samsung подтвердил, что его устройства подвержены данной уязвимости.