Новая уязвимость в Android-смартфонах позволяет тайно шпионить и фотографировать пользователей

Автор: Елена Щербань, 20 ноября 2019, 17:47
Новая уязвимость в Android-смартфонах позволяет тайно шпионить и фотографировать пользователей

Специалисты компании Checkmarx выявили новую уязвимость в Android-смартфонах, с помощью которой можно тайно снимать их пользователей.

Как это работает

Уязвимость, известная как CVE-20192234, действует с помощью приложения камеры. Через него другие приложения получают доступ к камере, имея лишь обычное разрешение на пользование хранилищем (Storage).

Но хакеры смогут не только получить доступ к файлам на карте памяти, но еще и в любой момент делать фото и видео, причем бесшумно и даже на заблокированном гаджете.

«Вредоносное приложение, работающее на смартфоне Android, которое может считывать данные с карты SD, не только имеет доступ к прошлым фотографиям и видео, но и с помощью этой новой методологии атаки может быть направлено на инициирование (снятие) новых фотографий и видео по запросу. Но это ещё не всё. Так как метаданные GPS обычно встраиваются в фотографии, злоумышленник может воспользоваться этим фактом, чтобы также определить местонахождение пользователя, сделав фотографию или видео и проанализировав соответствующие данные EXIF»,  пишут специалисты Checkmarx.

В общем с помощью этой уязвимости приложения могут:

  • делать снимки и видеоролики, даже если телефон заблокирован или экран выключен;
  • получать данные о местоположении GPS из сохранённых фотографий;
  • слушать двусторонние разговоры, даже когда записывается видео и фотографии;
  • выключать звук затвора камеры, чтобы жертва не слышала съёмку;
  • передавать старые видео и фотографии, хранящиеся на карте памяти.

Checkmarx обнаружила уязвимость в июле этого года. Google и Samsung признали ее наличие на своих смартфонах и одобрили публикацию о ее обнаружении. В июле уязвимость устранили с помощью Google Play Store. Поэтому пользователям стоит убедиться в том, что приложение «Камера» на их устройствах получило заплатку.

Источник: Bleeping Computer

Для тех, кто хочет знать больше:

Подписывайтесь на наш нескучный канал в Telegram, чтобы ничего не пропустить.

Поделиться