Уязвимост в камерата потенциално засяга стотици милиони потребители с Android

Откриването на нови уязвимости в мобилните платформи става често, а броят на засегнатите устройства варира. Най-новата подобна заплаха е открита от Checkmarx и потенциално може да засегне стотици милиони потребители със смартфони от Google и Samsung. Учени от компанията са открили пропуск, който дава възможност на хакери да управляват отдалечено камерата на смартфоните, включително да записват видео и телефонни разговори, както и да откриват локацията им.

При тест на приложението за камерата на смартфоните Pixel 2XL и Pixel 3 те са открили, че хакери могат да заобиколят позволенията, зададени от потребителите. По този начин всяко приложение може да управлява програмата за снимане. Същата техника е приложена и при приложението за камера на Samsung. Уязвимостите са с наименование CVE-2019-2234, а чрез тях информация от камерата, микрофона и GPS локацията могат да станат достояние на хакери. Атаките могат да бъдат осъществени отдалечено.

Заобикалянето на вградената защита става чрез зловредно приложение, което получава достъп до хранилището на устройството. След като има такъв достъп, програмата установява връзка с хакерите и очаква команди, а връзката остава активна дори програмата да бъде затворена. Сред потенциалните команди са снимане и запис на видео, запис на разговори, използване на GPS координатите от заснети снимки и т.н.

Checkmarx обявяват официално уязвимостта, след като вече са се свързали със засегнатите компании. От Google са обновили приложението си през юли, с което са отстранили пропуските в сигурността, а макар да не потвърждава официално това и Samsung трябва да е приложила поправка. Както винаги препоръчваме да обновявате системните приложения в телефона си и да прилагате месечните поправки за сигурността, които получава Android.

Източник: Checkmarx