Исследователи Checkmarx обнаружили, что уязвимость в приложении Google Camera может позволить злоумышленникам тайно делать снимки и записывать видео, даже если телефон заблокирован или экран выключен .
В дополнение к этому злоумышленники также могли бы прослушивать и записывать телефонные разговоры, отключать звук затвора камеры, передавать снятые фотографии, видео и данные на свой C & C-сервер и извлекать данные о местоположении GPS на основе метаданных фотографии.
Android-камера шпион: открытие
Исследователи Checkmarx изучили приложение Google Camera на устройствах Google Pixel 2 XL и Pixel 3 и обнаружили несколько проблем, связанных с обходом разрешений, которые вместе называются CVE-2019-2234.
Эти проблемы могут быть использованы через приложение, которое имеет одно-единственное разрешение: доступ к хранилищу устройства (например, SD-карта).
«После детального анализа приложения Google Camera наша команда нашла способ манипулировать конкретными действиями и намерениями , позволяя любому приложению без специальных разрешений управлять приложением Google Camera», — заявил Эрез Ялон, директор по исследованиям в области безопасности. Checkmarx.
«Чтобы должным образом продемонстрировать, насколько это может быть опасно для пользователей Android, наша исследовательская группа разработала и внедрила приложение для проверки концепции, которое не требует каких-либо специальных разрешений, кроме основного разрешения на хранение. Имитируя продвинутого злоумышленника, PoC состоял из двух рабочих частей: клиентской части, представляющей вредоносное приложение, работающее на устройстве Android, и серверной части, представляющей командно-контрольный сервер (C & C) злоумышленника. Когда клиент запускает приложение, он, по сути, создает постоянное соединение обратно с сервером C & C и ожидает команд и инструкций от злоумышленника, который управляет консолью сервера C & C, из любой точки мира».
Разработанное ими PoC-приложение было якобы погодным приложением, и, как сказал Йалон в Help Net Security, оно прошло бы процедуру проверки в Google Play Store, прежде чем они сообщили об этой проблеме в Google.
Как отмечалось ранее, с помощью такого приложения и соединения злоумышленник может заставить приложение камеры делать фотографии, записывать видео, ждать голосового вызова и автоматически записывать звук с обеих сторон разговора ( функция ожидания голосового вызова была реализована с помощью датчик приближения телефона, который может распознавать, когда телефон подносится к уху жертвы), работать в скрытом режиме, загружать записанное видео и аудио на удаленный сервер и многое другое.
Что вы можете сделать?
Исследователи поделились своими результатами с Google, который подтвердил, что уязвимости затронули все модели телефонов Google и, вероятно, других производителей Android.
«Приложение Google Camera является частью приложений, которые по умолчанию установлены на телефонах Pixel», — отметил Ялон. «Некоторые поставщики, например Samsung, используют свое собственное приложение для камеры, другие могут использовать приложение по умолчанию. Кроме того, пользователи могут не использовать свое приложение по умолчанию и загружать приложение Google или другое».
Затем исследователи связались с другими поставщиками по поводу уязвимостей и получили ответ от Samsung, чьи приложения для камер также были признаны уязвимыми.
«Проблема была решена на устройствах Google с уязвимостью через обновление Play Store для приложения Google Camera в июле 2019 года. Патч также был доступен для всех партнеров», — сообщила Google исследователям.
Samsung подтвердила, что исправления были опубликованы. Тем не менее, следует отметить, что последние выпущенные версии двух приложений для камер в Google Play датированы 3 июля 2018 года.
Исследователи советуют пользователям обновлять приложения до последней доступной версии и регулярно обновлять ОС Android.
Правда одно неясно, зачем давать совет, который практически невыполним? Ведь «регулярно обновлять ОС Android» для большинства пользователей этой ОС звучит скорее как издевательство.
