Team så, hvordan en angriber kunne kapre Android -kamera til spyfest

Android kamera sikkerhedstrussel, oplyst og siden adresseret, havde spion sårbarheder. Disse blev rettet af Google og Samsung med en patch, der blev rullet ud til Pixel- og Samsung -enheder. De seneste overskrifter omkring fejlen på Android -enheder pirrede en ubehagelig tanke i de seneste af mange ubehagelige tanker om sikkerhedsrisici i Android -økosystemet.

Forestil dig, at din app optager video og tager fotos uden din tilladelse.

Kort sagt, angribere kan kapre dit telefonkamera. Dan Goodin ind Ars Technica :Dette handlede om "en app havde slet ingen tilladelser for at få kameraet til at skyde billeder og optage video og lyd."

Hvad hvis din telefon var låst? De kunne stadig gøre det. Hvad hvis din skærm var slukket? De kunne stadig gøre det.

På tirsdag, Erez Yalon, Director of Security Research hos Checkmarx, åbnede sig om fejlene, deres holds angrebsstrategi, og de sårbarheder, de opdagede (CVE-2019-2234).

I mellemtiden, Sikkerhedsanliggender tirsdag introducerede spørgsmålet til sine læsere, siger cybersikkerhedseksperter fra Checkmarx opdagede flere sårbarheder i Android -kameraapps fra Google og Samsung, og disse kunne have været udnyttet af hackere til at spionere på hundredvis af millioner af brugere.

"Sårbarhederne spores samlet som CVE-2019-2234, angribere kunne udnytte dem til at udføre flere aktiviteter, herunder optagelse af videoer, tager billeder, optagelse af taleopkald, sporing af brugerens placering. "

Hvad angår Checkmarx -bloggen, Yalon detaljerede vejen til opdagelse. "For bedre at forstå, hvordan smartphonekameraer kan åbne brugerne for risici for privatlivets fred, Checkmarx Security Research Team slog ind i selve applikationerne, der styrer disse kameraer for at identificere potentielle misbrugsscenarier. Teamet har en Google Pixel 2 XL og Pixel 3 til rådighed, i sidste ende at finde flere vedrørende sårbarheder, der stammer fra "problemer med omgåelse af tilladelser".

Teamet testede begge versioner af Pixel (2 XL / 3) i deres laboratorier. Teamet leverede en proof-of-concept (PoC) video og en teknisk rapport. Videonoter sagde:"Checkmarx Security Research Team demonstrerer, hvordan man udnytter sårbarheder, der findes i Google -kameraprogrammet, tvinger enheden til at tage billeder, videoer, og aflytning uden brugerens viden. "

Yalon sagde, at resultaterne blev delt med Google, Samsung og andre Android-baserede smartphone-OEM'er.

Tidslinje fra ZDNet :Google blev informeret om forskernes fund den 4. juli. Google registrerede CVE og bekræftede, at andre leverandører blev påvirket. En rettelse blev frigivet. Det oplyser Google i en erklæring. "Problemet blev løst på påvirkede Google -enheder via en Play Store -opdatering til Google Camera -applikationen i juli 2019. En patch er også blevet tilgængelig for alle partnere."

En talsmand fra Samsung fortalte i mellemtiden Business Insider virksomheden frigav også patches for at løse problemet.

Alfred Ng i CNET rapporterede det, efter at Checkmarx informerede Google og Samsung om sikkerhedsproblemet i juli. De to virksomheder fortalte Checkmarx, at de fik løst problemet i en Play Store -opdatering samme måned. Imidlertid, Ng tilføjede, "Mens patchen er tilgængelig, Det er uklart, om hver berørt enhedsproducent har udstedt rettelsen. "

Dan Goodin ind Ars Technica havde en lignende advarsel/ "Indtil for nylig, svagheder i Android-kameraapps fra Google og Samsung gjorde det muligt for useriøse apps at optage video og lyd og tage billeder og derefter uploade dem til en angriberstyret server-uden tilladelse til at gøre det. Kameraapps fra andre producenter kan stadig være modtagelige. "

Aaron Holmes , Business Insider , og Dan Goodin, Ars Technica, fortalte deres læsere, hvad de skulle gøre for at være sikre ikke undskyld:tjek din Android -enhed, enkelt og enkelt, for at se, om det er sårbart. De foreslog også måder at kontrollere, hvis den enhed, der skulle kontrolleres, hverken var Pixel eller Samsuing, som Goodin bemærkede, at "kameraapps fra andre producenter stadig kan være modtagelige."

© 2019 Science X Network