Шпигун в кишені. Google підтвердила серйозну уразливість в додатку камери на Android

20 листопада 2019, 15:00

Компанія Checkmarx виявила вразливість в смартфонах Google і Samsung, яка дозволяє таємно записувати відео і аудіо.

Виявлення цих вразливостей, здатних вплинути на сотні мільйонів користувачів Android, є найбільшим на сьогодні.

Коли група дослідників безпеки Checkmarx почала досліджувати додаток Google Camera на смартфонах Pixel 2XL і Pixel 3, вона виявила кілька вразливостей.

Відео дня

«Наша команда знайшла спосіб маніпулювати конкретними діями і намірами, що дозволяє будь-якому додатку без спеціальних дозволів контролювати додаток Google Camera. Ця ж техніка може бути застосована і до додатка Samsung для камер», — говорить Ерез Ялон, директор з досліджень безпеки в Checkmarx.

Наслідки цих вразливостей, з огляду на присутність у списку смартфонів Google і Samsung, представляють серйозну загрозу для сотень мільйонів користувачів.

Самі уразливості (CVE-2019−2234) дозволили шахрайському додатку віддалено отримувати дані з камери, мікрофона, а також дані про місцезнаходження GPS. Можливість зробити це настільки серйозна, що проект з відкритим вихідним кодом Android (AOSP), зокрема, має набір дозволів, які будь-який додаток має запросити у користувача і схвалити перед тим, як дозволити такі дії.

Дослідники Checkmarx створили сценарій атаки, який використовував сам додаток Google Camera для обходу цих дозволів. Вони зробили це, створивши шкідливий додаток, який використовував один з найчастіше запитуваних дозволів: доступ до сховища.

Компанія Checkmarx створила експлойт для перевірки концепції (PoC), розробивши шкідливий додаток, метеорологічний додаток, популярний в магазині Google Play. Ця програма не вимагає якихось спеціальних дозволів, крім основного доступу до сховища.

Ця програма, проте, була далеко не безневинною. Застосунок складався з двох частин: клієнтської програми, що працює на смартфоні, і серверу управління і контролю, до якого він підключається для виконання вказівок атакуючого. Після того, як програму встановлено і запущено, вона буде створювати постійне з'єднання з цим сервером управління і контролю, а потім сидіти і чекати інструкцій. Закриття програми не закрило з'єднання з сервером.

Така вразливість відкриває доступ до фото та відео в галереї пристрою, дозволяє записувати телефонні розмови та отримувати дані геолокації.

Після докладної перевірки з’ясувалося, що проблема стосується не тільки Pixel, але будь-яких смартфонів, на яких встановлена Google Камера. Проблему виправили з виходом патча для Камери Google в липні, Samsung випустила латочку в серпні. Про існування загрози стало відомо тільки зараз.

«Ми вдячні Checkmarx за те, що ми звернули на це увагу і працюємо з партнерами Google і Android для координації розкриття інформації. Проблема була вирішена на порушених пристроях Google через оновлення Play Store для додатка Google Camera в липні 2019. Патч також був доступний для всіх партнерів», — визнали в Google.

Показати ще новини
Радіо НВ
X