Google Camera была взломана? Ведущая компания по безопасности приложений Checkmarx подробно описала несколько уязвимостей. И вы нашли их в приложениях для камер мобильных телефонов Android от нескольких ведущих поставщиков, включая Google и Samsung.
Первоначально он был обнаружен на мобильных телефонах Google Pixel 2 XL и Pixel 3. Уязвимости (CVE-2019-2234) исходят от «проблемы обхода разрешений».
это, Потенциально они могут позволить злоумышленникам использовать сторонние приложения для фотосъемки, записи видео и прослушивания телефонных звонков без разрешения. Возьмите это сейчас!
Уязвимость Android позволяла записывать видео без ведома пользователей
Через Google Camera и другие приложения камеры
Согласно официальному сообщению в блоге Checkmarx, Подробный анализ приложения Google Camera, проведенный исследователями компании, показал, что, манипулируя определенными действиями и намерениями, злоумышленник может управлять приложением, чтобы делать фотографии и/или записывать видео через мошенническое приложение, у которого нет на это разрешений.
Уязвимость также, по-видимому, позволяет хакерам или злоумышленникам обходить политики разрешений на хранение для доступа к медиафайлам на телефоне. А также метаданные GPS для определения местоположения пользователя.
Тестовая атака (PoC), разработанная и реализованная исследователями, по-видимому, показывает, что вредоносным приложениям не потребуются никакие специальные разрешения, кроме базового разрешения на хранение.
«Когда клиент запускает (вредоносное) приложение, он, по сути, создает постоянное обратное соединение с сервером управления и контроля (C&C) и ожидает команд и инструкций от злоумышленника… Даже закрытие приложения не прерывает постоянное соединение. ."компания сказала.
После взлома устройства злоумышленник может снимать фото и видео на телефон жертвы и загружать их на C&C-сервер. Они также потенциально могут анализировать все фотографии на наличие GPS-меток и определять местоположение телефона на глобальной карте, таким образом определяя географическое положение ничего не подозревающей жертвы.
Кроме того, разрешение на аудио и видео также позволяет хакеру автоматически записывать телефонные звонки с обеих сторон разговора.
Получив информацию от исследовательской группы Checkmarx, Google самостоятельно изучила этот вопрос и обнаружила, что уязвимости не относятся к устройствам Pixel.
По словам поискового гиганта, влияние было намного больше и распространилось на более широкую экосистему Android, затронув нескольких поставщиков. Тем не менее, компания заявляет, что решила проблему с помощью обновления приложения Google Camera в июле 2019 года, всего через несколько дней после того, как стало известно о проблеме.
Samsung также подтвердила выводы и начала предпринимать шаги по устранению проблемы. В этом случае мы не знаем, было ли это уже сделано или, как и в случае с его обновлениями для новых версий Android, им требуется полтора века.
Знаете ли вы об этих типах атак на устройства Android? Оставьте комментарий к 3,2,1…