Sun. Jan 17th, 2021

Το ελάττωμα Android επέτρεψε στους επιτιθέμενους να κατασκοπεύσουν τους χρήστες μέσω της τηλεφωνικής κάμερας

Χάρη σε ελάττωμα ασφαλείας, οι εφαρμογές Android είχαν τη δυνατότητα να φωτογραφίζουν και να καταγράφουν συνομιλίες χωρίς να το γνωρίζουν οι χρήστες.

Σύμφωνα με μια έκθεση βόμβου που κυκλοφόρησε την Τρίτη από την εταιρία Cyber ​​Security Checkmarx, ένα σημαντικό μειονέκτημα του Android έδωσε στους επιτιθέμενους συγκλονιστικά ευρείες άδειες σε ένα τηλέφωνο χωρίς τη συγκατάθεση των χρηστών. Το ελάττωμα, που ονομάστηκε CVE-2019-2234, επέτρεψε σε έναν προγραμματιστή εφαρμογών να αποκτήσει απαράμιλλη πρόσβαση στη φωτογραφική μηχανή μιας συσκευής, μετατρέποντας το τηλέφωνο του χρήστη σε συσκευή κατασκοπείας. Το Checkmarx κατάφερε να αποκαλύψει όλα αυτά τα τρωτά σημεία μέσω μιας ψεύτικης εφαρμογής καιρού που δημιούργησε.

Ένας εισβολέας θα μπορούσε να σιωπήσει το κλείστρο της κάμερας για να κρύψει το γεγονός ότι ηχογραφούσε βίντεο και φωτογραφίες χωρίς συγκατάθεση. Αυτές οι ενέργειες θα μπορούσαν να ληφθούν ακόμη και όταν η κακόβουλη εφαρμογή έκλεισε, με την οθόνη απενεργοποιημένη και το τηλέφωνο κλειδωμένο.

Το ελάττωμα έδωσε επίσης πρόσβαση εισβολέα σε αποθηκευμένα μέσα σε μια συσκευή, καθώς και δεδομένα GPS σε φωτογραφίες και βίντεο στη βιβλιοθήκη του. Και επέτρεψε σε έναν προγραμματιστή εφαρμογών να παρακολουθήσει και τις δύο πλευρές μιας τηλεφωνικής συνομιλίας και να ηχογραφήσει ήχο.

Ναι, χειροτερεύει. Ο αισθητήρας εγγύτητας ενός τηλεφώνου θα μπορούσε να χρησιμοποιηθεί για να επιτρέψει στον εισβολέα να γνωρίζει πότε το τηλέφωνο κρατήθηκε στο αυτί του χρήστη για μια τηλεφωνική κλήση ή όταν το τηλέφωνο ήταν ξαπλωμένο με την όψη προς τα κάτω, ώστε η ανοικτή εφαρμογή φωτογραφικής μηχανής να μην μπορεί να εντοπιστεί κατά τη λήψη φωτογραφιών ή την εγγραφή βίντεο .

Ένας εισβολέας μπόρεσε ακόμη να φορτώσει εικόνες και βίντεο από το τηλέφωνο σε ένα διακομιστή, αν ένας χρήστης έδωσε την άδεια στην εφαρμογή για πρόσβαση στο χώρο αποθήκευσης της συσκευής.

Η Checkmarx ανακάλυψε για πρώτη φορά το ελάττωμα κατά τη διάρκεια του καλοκαιριού, ενώ ερεύνησε την εφαρμογή Google Camera σε ένα Google Pixel 2 XL και Pixel 3. Περαιτέρω έρευνα αποκάλυψε τα ίδια ευπάθειες στις “εφαρμογές κάμερας άλλων προμηθευτών smartphone στο οικοσύστημα Android”, συμπεριλαμβανομένης της Samsung.

Μεταξύ των πιο εντυπωσιακών πτυχών αυτού του ελαττώματος είναι το γεγονός ότι οι επιτιθέμενοι είχαν πρόσβαση στην φωτογραφική μηχανή και το μικρόφωνο του τηλεφώνου, χωρίς ο χρήστης να δώσει πρώτα την άδεια για την εφαρμογή. Ακόμα και το πρόσφατο ιογενές σφάλμα Facebook, το οποίο ανάγκασαν την κάμερα του iPhone να ανοίξει, απαιτούσε άδεια χρήστη πριν από την πρόσβαση στην κάμερα.

Σύμφωνα με την έκθεση του Checkmarx, επικοινωνήθηκε αρχικά με την Google για το ελάττωμα στις αρχές Ιουλίου. Η Samsung επιβεβαίωσε ότι επηρεάστηκε επίσης από τα τρωτά σημεία στα τέλη Αυγούστου. Και οι δύο εταιρείες ενέκριναν τη δημοσίευση της έκθεσης Checkmarx αυτόν τον μήνα.

“Εκτιμούμε ότι η Checkmarx μας έδωσε την προσοχή και συνεργάστηκε με τους συνεργάτες Google και Android για να συντονίσει την αποκάλυψη”, δήλωσε ένας εκπρόσωπος της Google σε μια δήλωση που δόθηκε στην Checkmarx. “Το ζήτημα εξετάστηκε σε επιλεγμένες συσκευές Google μέσω της ενημέρωσης του Play Store στην εφαρμογή Google Camera Application τον Ιούλιο του 2019. Μια ενημερωμένη έκδοση κώδικα έχει επίσης διατεθεί σε όλους τους συνεργάτες.”

Κάνε σήμερα εγγραφή στο newsletter του commerce.gr και ενημερώσου άμεσα για όλα τα νέα της αγοράς.

Σε συνεργασία με το


Ενημερώσου άμεσα και καθημερινά με όλα τα νέα της αγοράς, γρήγορα, με τα νέα που σε ενδιαφέρουν. Περισσότερα από 3000 μέλη μας ακολουθούν καθημερινά κάθε πρωί με το βασική ενημέρωση και ένα update το απόγευμα της ίδιας ημέρας.