Nowa luka w smartfonach z systemem Android umożliwia potajemne szpiegowanie i fotografowanie użytkowników

Autor: Helena Szczerbań | 20.11.2019, 17:47
Nowa luka w smartfonach z systemem Android umożliwia potajemne szpiegowanie i fotografowanie użytkowników

Specjaliści Checkmarx ujawnili nową lukę w zabezpieczeniach smartfonów z Androidem, dzięki której możesz potajemnie fotografować ich użytkowników.

Jak to działa

Na działanie luki zwanej CVE-2019-2234 ma wpływ aplikacja aparatu. Dzięki temu inne aplikacje uzyskują dostęp do kamery, mając jedynie zwykłe pozwolenie na korzystanie z pamięci (Storage).

Ale hakerzy mogą nie tylko uzyskiwać dostęp do plików na karcie pamięci, ale także robić zdjęcia i nagrywać filmy w dowolnym momencie, a ponadto cicho, a nawet na zablokowanym gadżecie.

„Złośliwa aplikacja działająca na smartfonie z systemem Android, która może odczytywać dane z karty SD, ma nie tylko dostęp do wcześniejszych zdjęć i filmów, ale za pomocą tej nowej metodologii ataku może mieć na celu inicjowanie (robienie) nowych zdjęć i filmów na żądanie. Ale to nie wszystko. Ponieważ metadane GPS są zwykle osadzone na zdjęciach, osoba atakująca może skorzystać z tego faktu, aby zlokalizować użytkownika, robiąc zdjęcie lub film i analizując odpowiednie dane EXIF ​​”, piszą specjaliści Checkmarx.

Ogólnie rzecz biorąc, korzystając z tej luki, aplikacje mogą:

  • robić zdjęcia i nagrywać filmy, nawet jeśli telefon jest zablokowany lub ekran jest wyłączony;;
  • otrzymywanie informacji o lokalizacji GPS z zapisanych zdjęć;
  • słuchać dwukierunkowej rozmowy, nawet gdy są nagrywane filmy i zdjęcia;
  • wyłączać dźwięk migawki aparatu, aby ofiara nie słyszała ze kamera działa;
  • Przenosić stare filmy i zdjęcia zapisane na karcie pamięci.

Checkmarx odkrył podatność w lipcu tego roku. Google i Samsung rozpoznały jego obecność na smartfonach i zatwierdziły publikację tego odkrycia. W lipcu luka została usunięta za pomocą Google Play Store. Dlatego użytkownicy powinni upewnić się, że aplikacja Camera na ich urządzeniach otrzymała łatkę.

Źródło: bleeping komputer

{% Urządzenie 788%}