Уязвимость в Android позволяет вредоносному ПО записывать видео
Руководитель отдела исследований безопасности компании Checkmarx Эрез Ялон (Erez Yalon) обнаружил в мобильных устройствах Google и Samsung ряд уязвимостей, объединенных под одним идентификатором CVE-2019-2234.
В ходе исследования безопасности камер в устройствах Google Pixel 2 XL и Pixel 3 команда специалистов Checkmarx обнаружила уязвимости в приложении «Камера» от Google, позволившие им управлять некоторыми функциями, не получив соответствующего разрешения.
В целом, CVE-2019-2234 позволяет любому приложению без соответствующего разрешения управлять приложением «Камера», в том числе снимать фото и видео, даже если устройство заблокировано, экран выключен, а пользователь разговаривает по телефону. По словам специалистов, помимо Google, проблема затрагивает и других производителей Android-устройств, в том числе Samsung.
Google ограничивает доступ приложений к чувствительным функциям, таким как камера, микрофон и геолокационные сервисы. Для получения доступа к ним требуется сначала получить соответствующее разрешение. Тем не менее, обнаруженная исследователями уязвимость позволяет обойти эти ограничения.
Приложение «Камера» в ОС Android обычно сохраняет фотографии на SD-картах, поэтому для доступа к ним другие приложения запрашивают доступ к SD-карте.
«К сожалению, это разрешение имеет широкий спектр действия и предоставляет доступ к SD-карте в целом. Существует целый ряд легитимных приложений, запрашивающих доступ к хранилищу, хотя для работы им не требуются изображения и видео. По факту, это одно из самых запрашиваемых разрешений», - сообщили исследователи.
Именно это разрешение специалисты решили использовать в качестве вектора атаки. Как оказалось, если вредоносному приложению предоставить доступ к SD-карте, то оно не только получит доступ к фотографиям и видео, но благодаря уязвимости также заставит фото-приложение снимать новые фотографии и видео.
«Мы могли легко записывать голос как пользователя во время разговора, так и голос звонящего. Это нежелательная активность, поскольку приложение Google «Камера» не должно полностью контролироваться внешним приложением», - отметили исследователи.
Исследователи уведомили Google о проблеме в июле нынешнего года. Сначала компания сочла уязвимость средней опасности, но затем признала ее высоко опасной, зарегистрировала CVE и выпустила исправление.
Источник: SecurityLab
Читайте также:
В 2020-м нас ждут утечки биометрических данных и целевое вымогательство
Эксперты «Лаборатории Касперского» поделились своим видением развития сложных угроз и целевых атак (так называемых Advanced Persistent Threats – АРТ) в 2020 году.
Хакеры нашли новые способы обойти антивирус при рассылке зараженных писем
Для обхода системы защиты злоумышленники стали использовать рассылку электронных писем с вложенным в него зараженным архивом (чаще всего zip и rar). Такое письмо не распознается, как опасное, и спокойно попадает в папку «входящие».