Android: ένα ελάττωμα σάς επιτρέπει να κατασκοπεύετε με την κάμερα και το μικρόφωνο του smartphone σας

Phonandroid : actu Android et High-tech

Μετατόπιση. ο 25 Νοεμβρίου 2019 στις 12 ώρες και 16 λεπτά

Ένα ελάττωμα Android επιτρέπει στις εφαρμογές να σας κατασκοπεύουν χρησιμοποιώντας την κάμερα και το μικρόφωνο του smartphone σας. Μπορούν να τραβήξουν φωτογραφίες, να εγγράψουν βίντεο ή ακόμα και τις συνομιλίες σας χωρίς άδεια. Τα δεδομένα μεταφέρονται απευθείας σε διακομιστές τρίτων χωρίς τη γνώση των χρηστών.

Το Android απαιτεί συγκεκριμένες άδειες για να επιτρέπεται στις εφαρμογές να έχουν πρόσβαση στην κάμερα και το μικρόφωνο των smartphone. Ωστόσο, ένα ελάττωμα που εντοπίστηκε από ερευνητές της εταιρείας ασφαλείας Checkmarx επιτρέπει την παράκαμψη των αδειών και την κατάσκοπη κατασκοπεία των χρηστών. Αυτή η ευπάθεια που φέρει την αναφορά CVE-2019-2234 Κουμπί Google Camera, Εφαρμογή Samsung Camera και ενδεχομένως εκείνων άλλων εμπορικών σημάτων. Ως απόδειξη της ιδέας, η Checkmarx έχει αναπτύξει μια εφαρμογή καιρού όπως οποιαδήποτε άλλη που μπορείτε να κατεβάσετε από το Play Store.

Μόλις εγκατασταθεί, ήταν δυνατό να τραβήξτε φωτογραφίες και καταγράψτε βίντεο ακόμα και όταν η οθόνη είναι σβηστή ή το smartphone είναι κλειδωμένο. Διαφορετικά, το σενάριο συνεχίζεται κανονικά όταν η κακόβουλη εφαρμογή είναι κλειστή. Όλα γίνονται με διακριτικό τρόπο χωρίς να ενεργοποιείται το φλας ή ο ήχος που εκπέμπεται κατά τη λήψη μιας φωτογραφίας. Το ελάττωμα καθιστά επίσης δυνατή την ανάκτηση της θέσης GPS από τα μεταδεδομένα φωτογραφιών και βίντεο. Η κάμερα δεν είναι το μόνο στοιχείο που επηρεάζεται από αυτήν την ευπάθεια.

Σύμφωνα με τον Checkmarx, οι επιτιθέμενοι μπορούν επίσης πρόσβαση στο μικρόφωνο χωρίς εξουσιοδότηση και εγγραφή τηλεφωνικών κλήσεων και ό, τι λέγεται γύρω από τον χρήστη. Στη συνέχεια, τα δεδομένα μεταφέρονται σε διακομιστές τρίτων. Τέλος, είναι επίσης δυνατή η λίστα και ανάκτηση όλων των φωτογραφιών JPG ή βίντεο MP4 που είναι αποθηκευμένα στην κάρτα SD.

Διαβάστε επίσης – Android: μια παραβίαση ασφαλείας σάς επιτρέπει να παρακολουθείτε όλες τις κλήσεις σας

Η Samsung και η Google έχουν επιδιορθώσει

Η Checkmarx μοιράστηκε την ανακάλυψή της με την Google και τη Samsung τον περασμένο Ιούλιο. Μετά την κυκλοφορία της έκθεσης στις 19 Νοεμβρίου, η Google δήλωσε σε μια δήλωση ότι «το ζήτημα έχει επιλυθεί έκτοτε με μια ενημέρωση υπαλλήλου στο Play Store. Ένα έμπλαστρο διατέθηκε επίσης σε όλους τους συνεργάτες ». Η Samsung είπε επίσης ότι έχει εφαρμοστεί μια ενημέρωση κώδικα σε όλα τα smartphone της χωρίς να διευκρινιστεί πότε έγινε αυτό.

Εκτός από την Google και τη Samsung, η έκθεση δεν διευκρινίζει ποιοι άλλοι κατασκευαστές ενδέχεται να επηρεαστούν από αυτήν την ευπάθεια και καμία άλλη επωνυμία δεν έχει επιβεβαιώσει ότι επηρεάζεται. Σε κάθε περίπτωση, οι κάτοχοι συσκευών Android πρέπει να διασφαλίσουν ότι έχουν εγκαταστήσει την πιο πρόσφατη ενημέρωση συστήματος και την ενημέρωση της εφαρμογής κάμερας.

Πηγή: Checkmarx