Sigurnosni nedostatak u Android pametnim telefonima tvrtki poput Googlea i Samsunga omogućio je zlonamjernim aplikacijama snimanje videa, fotografija i zvuka, prijenos sadržaja na udaljeni poslužitelj bez dopuštenja korisnika.
Ranjivost je otkrivena od strane zaštitarska tvrtka Checkmarx , a danas su ga istaknuli Ars Technica . Nedostatak je imao potencijal ostaviti visokovrijedne mete otvorenim za nezakonito snimanje njihove okoline njihovim pametnim telefonima.
Slika preko Checkmarxa
Android ima za cilj spriječiti aplikacije da pristupe kameri i mikrofonu na pametnom telefonu bez dopuštenja korisnika, ali s ovim konkretnim iskorištavanjem, aplikacija bi mogla koristiti kameru i mikrofon za snimanje videa i zvuka bez izričitog pristanka korisnika. Sve što je aplikacija trebala učiniti je dobiti dopuštenje za pristup pohrani uređaja, što se obično daje jer većina aplikacija to traži.
Kako bi pokazao kako je nedostatak funkcionirao, Checkmarx je stvorio aplikaciju za provjeru koncepta koja je na površini izgledala kao aplikacija za vremensku prognozu, ali je skupljala ogromne količine podataka u pozadini.
Aplikacija je mogla snimati slike i videozapise čak i kada je zaslon telefona bio isključen ili je aplikacija zatvorena, kao i pristup podacima o lokaciji s fotografija. Mogao je raditi u skrivenom načinu rada, eliminirajući zvuk zatvarača kamere, a mogao je i snimati dvosmjerne telefonske razgovore. Svi su se podaci mogli prenijeti na udaljeni poslužitelj.
Kada se koristio exploit, ekran pametnog telefona koji je napadnut prikazao bi kameru prilikom snimanja videa ili fotografije, što bi pogođenim korisnicima dalo do znanja što se događa. Moglo se koristiti potajno kada zaslon pametnog telefona nije vidljiv ili kada je uređaj postavljen ekranom prema dolje, a postojala je i značajka za korištenje senzora blizine za određivanje kada je pametni telefon okrenut prema dolje.
Google je riješio ranjivost na svojim Pixel telefonima putem ažuriranja kamere koje je lansirano još u srpnju, a Samsung je također popravio ranjivost, iako se ne zna kada. Iz Googlea:
'Cijenimo što nam je Checkmarx skrenuo pažnju na to i surađivao s Googleom i Android partnerima na koordinaciji otkrivanja podataka. Problem je riješen na zahvaćenim Google uređajima putem ažuriranja aplikacije Google Camera za Play Store u srpnju 2019. Zakrpa je također stavljena na raspolaganje svim partnerima.'
Od Samsunga:
'Budući da nas je Google obavijestio o ovom problemu, naknadno smo objavili zakrpe za sve modele Samsung uređaja koji bi mogli biti pogođeni. Cijenimo naše partnerstvo s timom za Android koji nam je omogućio da identificiramo i izravno riješimo ovaj problem.'
Prema Checkmarxu, Google je rekao da bi Android telefoni drugih proizvođača također mogli biti ranjivi, tako da još uvijek mogu postojati neki uređaji koji su otvoreni za napad. Google nije otkrio konkretne proizvođače i modele.
Budući da je riječ o grešci za Android, Appleovi iOS uređaji nisu pogođeni sigurnosnim propustom.
Nije poznato zašto su aplikacije mogle pristupiti kameri bez dopuštenja korisnika. U e-poruci za Ars Technica , Checkmarx je nagađao da bi to potencijalno moglo biti povezano s Googleovom odlukom da kamera radi s Google Assistantom, značajkom koju su drugi proizvođači također mogli implementirati.
Oznake: Samsung , Google , exploit , Android
Popularni Postovi