Новая уязвимость в Android-смартфонах позволяет тайно шпионить и фотографировать пользователей
Специалисты компании Checkmarx выявили новую уязвимость в Android-смартфонах, с помощью которой можно тайно снимать их пользователей.
Как это работает
Уязвимость, известная как CVE-2019–2234, действует с помощью приложения камеры. Через него другие приложения получают доступ к камере, имея лишь обычное разрешение на пользование хранилищем (Storage).
Но хакеры смогут не только получить доступ к файлам на карте памяти, но еще и в любой момент делать фото и видео, причем бесшумно и даже на заблокированном гаджете.
«Вредоносное приложение, работающее на смартфоне Android, которое может считывать данные с карты SD, не только имеет доступ к прошлым фотографиям и видео, но и с помощью этой новой методологии атаки может быть направлено на инициирование (снятие) новых фотографий и видео по запросу. Но это ещё не всё. Так как метаданные GPS обычно встраиваются в фотографии, злоумышленник может воспользоваться этим фактом, чтобы также определить местонахождение пользователя, сделав фотографию или видео и проанализировав соответствующие данные EXIF», — пишут специалисты Checkmarx.
В общем с помощью этой уязвимости приложения могут:
- делать снимки и видеоролики, даже если телефон заблокирован или экран выключен;
- получать данные о местоположении GPS из сохранённых фотографий;
- слушать двусторонние разговоры, даже когда записывается видео и фотографии;
- выключать звук затвора камеры, чтобы жертва не слышала съёмку;
- передавать старые видео и фотографии, хранящиеся на карте памяти.
Checkmarx обнаружила уязвимость в июле этого года. Google и Samsung признали ее наличие на своих смартфонах и одобрили публикацию о ее обнаружении. В июле уязвимость устранили с помощью Google Play Store. Поэтому пользователям стоит убедиться в том, что приложение «Камера» на их устройствах получило заплатку.
Источник: Bleeping Computer