Google Máy ảnh có bị tấn công không? Công ty bảo mật ứng dụng hàng đầu Checkmarx đã chi tiết nhiều lỗ hổng. Và bạn đã tìm thấy chúng trong các ứng dụng camera trên điện thoại di động Android từ một số nhà cung cấp hàng đầu, bao gồm cả Google và Samsung.
Ban đầu nó được phát hiện trên điện thoại di động Google Pixel 2 XL và Pixel 3. Các lỗ hổng bảo mật (CVE-2019-2234) đến từ "Vấn đề bỏ qua quyền".
Những, Chúng có khả năng cho phép những kẻ tấn công sử dụng các ứng dụng của bên thứ ba để chụp ảnh, quay video và nghe cuộc gọi điện thoại mà không được phép. Hãy lấy nó ngay bây giờ!
Lỗ hổng Android được phép quay video mà người dùng không biết
Thông qua Google Máy ảnh và các ứng dụng máy ảnh khác
Theo một bài đăng trên blog Checkmarx chính thức, Một phân tích chi tiết về ứng dụng Google Camera của các nhà nghiên cứu của công ty cho thấy bằng cách điều khiển các hành động và ý định cụ thể, kẻ tấn công có thể điều khiển ứng dụng để chụp ảnh và / hoặc quay video thông qua một ứng dụng giả mạo không có quyền làm điều đó.
Lỗ hổng này rõ ràng cũng cho phép tin tặc hoặc người dùng độc hại bỏ qua các chính sách cấp phép lưu trữ để truy cập các tệp phương tiện trên điện thoại. Cũng như siêu dữ liệu GPS để xác định vị trí của người dùng.
Một cuộc tấn công thử nghiệm (PoC) do các nhà nghiên cứu thiết kế và thực hiện rõ ràng cho thấy rằng các ứng dụng độc hại sẽ không cần bất kỳ quyền đặc biệt nào ngoài quyền lưu trữ cơ bản.
"Khi máy khách khởi chạy ứng dụng (độc hại), về cơ bản nó tạo ra một kết nối liên tục trở lại máy chủ lệnh và điều khiển (C&C) và đợi lệnh và hướng dẫn từ kẻ tấn công ... Ngay cả khi đóng ứng dụng cũng không chấm dứt kết nối liên tục . "công ty cho biết.
Khi thiết bị bị xâm nhập, kẻ tấn công có thể chụp ảnh và quay video bằng điện thoại của nạn nhân và tải nó lên máy chủ C&C. Họ cũng có thể phân tích tất cả các bức ảnh để tìm thẻ GPS và định vị điện thoại trên bản đồ toàn cầu, do đó xác định vị trí địa lý của nạn nhân không nghi ngờ.
Hơn nữa, quyền âm thanh và video cũng cho phép hacker tự động ghi lại các cuộc điện thoại của cả hai bên trong cuộc trò chuyện.
Sau khi được thông báo bởi nhóm nghiên cứu Checkmarx, Google đã tự mình điều tra vấn đề và nhận thấy rằng các lỗ hổng bảo mật không dành riêng cho thiết bị Pixel.
Theo gã khổng lồ tìm kiếm, tác động lớn hơn nhiều và lan rộng ra hệ sinh thái Android rộng hơn, ảnh hưởng đến nhiều nhà cung cấp. Tuy nhiên, công ty cho biết họ đã giải quyết vấn đề thông qua bản cập nhật ứng dụng Google Máy ảnh vào tháng 2019 năm XNUMX chỉ vài ngày sau khi được thông báo về vấn đề.
Samsung cũng đã xác nhận các phát hiện và bắt đầu thực hiện các bước để giảm thiểu vấn đề. Trong trường hợp này, chúng tôi không biết liệu nó đã được thực hiện chưa hay như trong các bản cập nhật của nó cho các phiên bản Android mới, chúng phải mất một thế kỷ rưỡi mới có.
Bạn có biết về những kiểu tấn công trên thiết bị Androis? Để lại bình luận trên 3,2,1…