Українська версія gg виходить за підтримки MasterCard

Нова уразливість в Android-смартфонах дозволяє таємно шпигувати та фотографувати користувачів

Автор: Олена Щербань | 20 листопада 2019, 17:47
Нова уразливість в Android-смартфонах дозволяє таємно шпигувати та фотографувати користувачів

Фахівці компанії Checkmarx виявили нову уразливість в Android-смартфонах, за допомогою якої можна таємно знімати їх користувачів.

Як це працює

Уразливість, відома як CVE- 2019-2234, діє за допомогою додатка камери. Через нього інші додатки отримують доступ до камери, маючи лише звичайний дозвіл на користування сховищем (Storage).

Але хакери зможуть не лише отримати доступ до файлів на карті пам'яті, але ще й у будь-який момент робити фото та відео, причому безшумно і навіть на заблокованому гаджеті.

«Шкідливий додаток, що працює на смартфоні Android, який може зчитувати дані з карти SD, не лише має доступ до фотографій і відео, але й за допомогою цієї нової методології атаки може бути направлений на ініціювання нових фотографій та відео за запитом. Але це ще не все. Оскільки метадані GPS зазвичай вбудовуються у фотографії, зловмисник може скористатися цим фактом, щоб також визначити місцезнаходження користувача, зробивши фотографію або відео та проаналізувавши відповідні дані EXIF», - пишуть фахівці Checkmarx.

Загалом за допомогою цієї уразливості додатки можуть:

  • робити знімки та відеоролики, навіть якщо телефон заблокований або екран вимкнений;
  • отримувати дані про місцезнаходження GPS зі збережених фотографій;
  • слухати двосторонні розмови, навіть коли здійснюється відеозапис та фотографії;
  • вимикати звук затвора камери, щоб жертва не чула зйомку;
  • передавати старі відео і фотографії, що зберігаються на карті пам'яті.

Checkmarx виявила уазливість в липні цього року. Google та Samsung визнали її наявність на своїх смартфонах та схвалили публікацію про його виявлення. У липні вразливість усунули за допомогою Google Play Store. Тому користувачам варто переконатися в тому, що додаток «Камера» на їх пристроях одержав латку.

Джерело: Bleeping Computer

Для тех, кто хочет знать больше: