Новини

Камера Android смартфону може шпигувати за вами саме зараз

Уразливість в системі безпеки дозволяла будь-якій програмі управляти рідним додатком «Камера» в операційній система Android без необхідних дозволів з боку користувача, в тому числі знімати фото. Про це розповів в статті глава відділу безпеки компанії Checkmarx Ерез Ялон (Erez Yalon). 

Ялон виявив такі уразливості в додатках «Камери» розробки Google і Samsung. Користувачеві досить видати додатком дозвіл на доступ до пам’яті пристрою. 

Як це працює?

Щоб продемонструвати використання уразливості, Ялон створив фальшивий додаток погоди, який запитує єдиний дозвіл у користувача – на доступ до пам’яті. Сам по собі додаток нешкідливий і не блокується системою безпеки Google Play Protect. Але закриття програми не обриває з’єднання з сервером, дозволяючи хакеру відправляти команди. Після цього, хакер зможе на смартфоні, причому навіть на заблокованому:

  • Знімати фото і відео за допомогою камери смартфона, а потім завантажувати на віддалений сервер. Користувач цього не помітить, оскільки звук спрацьовування «затвора» буде відключений
  • За допомогою датчика наближення визначати, що користувач говорить по телефону, а потім записувати, що говорять обидва співрозмовники
  • Записувати відео користувача під час дзвінка, на додаток до звуку
  • Отримати необмежений доступ до фото та відео на пристрої
  • Отримати мітки GPS з усіх фото на пристрої, якщо користувач дозволив їх з додатком камери. Потім ці дані можуть використовуватися для історії переміщень користувача

А що Google та інші?

Checkmarx повідомила про знайдену уразливість Google в липні 2019 року. Google не відразу, але визнала, що уразливість охоплює широке число виробників смартфонів. Це відбулося в другій половині серпня, потім виробників сповістили про небезпеку. У самому кінці серпня Samsung визнала наявність уразливості на своїх пристроях. 

У листопаді Google і Samsung схвалили публікацію. За словами Google, вона виправила уразливість на власних пристроях в липні, а також відправила виправлення усіх порушених партнерам. 


Читай нас в Google News | Telegram | Facebook | Twitter

Back to top button