Уязвимость ОС Android открывала сторонним приложениям несанкционированный доступ к камере устройств

Исследователи компании Checkmarx обнаружили уязвимость операционной системы Android, которая позволяла сторонним приложениям получать доступ к камере устройств и задействовать ее для слежки за пользователями. Уязвимость, получившая обозначение CVE-2019-2234, использует лазейку, позволяющую обойти разрешения на доступ. В ОС Android действует достаточно строгая политика доступа к камере, также как к микрофону и данным о геопозиции – разрешить этот доступ тем или иным приложениям может лишь сам пользователь. Однако эксперты Checkmarx обратили внимание на то, что фото и видео с камеры Android-устройств сохраняются, как правило, на карту памяти. А доступ к ней является как раз одним из самых частых разрешений, запрашиваемых великим множеством вполне легитимных программ. Исследователи задались вопросом, может ли вредоносное приложение использовать это разрешение, чтобы получить доступ к сохраненным на карте памяти фото и видео.

Результат превзошел их ожидания. Специалисты Checkmarx смогли получить доступ не только к уже сделанным снимкам, но и активировать саму камеру. В серии экспериментов они продемонстрировали, что камера может включаться сторонним вредоносным приложением – даже на заблокированных устройствах и даже в момент совершения звонка. В результате, переведя камеру в режим видеосъемки, потенциальный злоумышленник получает возможность записывать разговоры пользователя. Кроме того, метаданные сохраненных снимков могут содержать информацию о геопозиции точки, где они были сделаны. Все это позволяет рассматривать уязвимость CVE-2019-2234 как возможный инструмент для слежки за пользователями. Проблема затрагивает смартфоны от Google, а также других ведущих производителей Android-устройств, в частности Samsung. Таким образом, можно говорить о потенциальной угрозе десяткам миллионов смартфонов.

К счастью, обнаружив проблему еще в июле нынешнего года, представители Checkmarx тут же уведомили о ней корпорацию Google. Та признала наличие уязвимости и выпустила исправляющее ее обновление ПО, сделав его доступным для всех партнеров. К настоящему моменту уязвимость устранена в устройствах ведущих производителей, в частности, Google и Samsung, что и позволило компании Checkmarx раскрыть информацию о ней.


Источник:  ZDNet

Возврат к списку