Kolejne luki wykryte w systemie Android. Według doniesień ekspertów ds. bezpieczeństwa z firmy Checkmarx, istnieje kilka wrażliwości dotyczących urządzeń produkcji Samsunga oraz Google. W efekcie ich występowania cyberprzestępcy mogą uzyskać dostęp do kamery w smartfonach i zdalnie wykonywać zdjęcia oraz nagrywać filmy – zarówno z przedniej, jak i tylnej kamery. Ponadto, możliwe jest zdalne odczytywanie wiadomości oraz dostęp do informacji o lokalizacji.
Programiści pierwotnie badali pod kątem zabezpieczeń aplikację o nazwie Aparat Google na smartfonach Google Pixel 2XL i Pixel 3. Odkryli wtedy kilka różnych luk wynikających z możliwości obejścia uprawnień. Po wnikliwej analizie okazało się, że te same metody włamania działają na aplikację aparatu w smartfonach Samsunga oraz kilku innych producentów.
„Po szczegółowej analizie aplikacji Google Camera nasz zespół stwierdził, że manipulując konkretnymi działaniami osoba atakująca może kontrolować aplikację kamery w celu robienia zdjęć i nagrywania filmów za pośrednictwem innej aplikacji, która nie ma do tego żadnych uprawnień„, tłumaczą Pedro Umbelino i Erez Yalon we wpisie na blogu firmy Checkmarx.
„Ponadto odkryliśmy że niektóre scenariusze ataku umożliwiają złośliwym podmiotom obejście różnych zasad dotyczących uprawnień do przechowywania, dając im dostęp do zapisanych filmów i zdjęć, a także metadanych GPS osadzonych w zdjęciach, w celu zlokalizowania użytkownika przez zrobienie zdjęcia lub filmu i analizę danych EXIF. Ta sama technika dotyczyła również aplikacji Samsung Camera.”, mówią eksperci.
Aby wykorzystać wykryte luki i dowieść swoich racji, Checkmarx opracował złośliwą aplikację. Szkodliwa apka pogodowa nie wymagała żadnych specjalnych uprawnień poza podstawowym dostępem do pamięci, co jest w zasadzie powszechnym zezwoleniem wymaganym przez wiele innych aplikacji w sklepie Google Play. Checkmarx skonfigurował także specjalny serwer kontroli, z którym łączy się aplikacja. Po zainstalowaniu aplikacji i otwarciu jej na urządzeniu użytkownika tworzy ona trwałe połączenie z serwerem poleceń i czeka na dalsze instrukcje.
Nawet jeśli użytkownik zamknie szkodliwą aplikację, nadal będzie ona połączona z serwerem, a osoba atakująca może nakazać jej wykonanie zdjęcia, nagrywanie wideo, nagrywanie dźwięku z połączeń głosowych, przechwytywanie tagów GPS ze zdjęć i uzyskiwanie dostępu do danych przechowywanych na urządzenie. Wszystkie zdjęcia i filmy zrobione przez aplikację zostaną następnie przesłane na serwer.
Exploit stworzony przez Checkmarx pozwalał osobie atakującej na nagrywanie filmów i robienie zdjęć, nawet gdy smartfon był zablokowany.
Google i Samsung wypuściły już ponoć stosowne aktualizacje, więc sprawdźcie, czy już je otrzymaliście.
Czy posiadacze smartfonów powinni zacząć zaklejać kamerki w swoich urządzeniach, podobnie jak robią to niektórzy właściciele laptopów? A może producenci smartfonów powinni tworzyć aparaty ze specjalnymi fizycznymi „zasłonkami”?