Програми Android можуть надавати різні свої функції на зразок можливості робити знімки іншими додатками на пристрої, але це вимагає отримання необхідних дозволів. Дослідники з Checkmarx в координації з Google і Samsung розкрили інформацію про вразливість, яка дозволяла додаткам робити знімки, записувати відео і визначати місце розташування пристрою, навіть якщо у них немає на це дозволів. Відомо, що вразливість, відома як CVE-2019-2234, зачіпає всі програми Google Camera і Samsung Camera до липня 2019 року.
Проаналізувавши додаток камери в Google Pixel, дослідники Checkmarx виявили численні функції, які можна об'єднати, щоб маніпулювати камерою пристрою, робити знімки і записувати відео. Зазвичай додаток повинен мати дозволи android.permission.CAMERA, android.permission.RECORD_AUDIO, android.permission.ACCESS_FINE_LOCATION і android.permission.ACCESS_COARSE_LOCATION для запису відео, фотографування або доступу до місця розташування пристрою.
Фахівці Checkmarx виявили, що програми, які мають дозвіл просто на зберігання даних (воно дає ПЗ доступ до накопичувача пристрою і карти пам'яті) за допомогою відкритих функцій програми «Камера» можуть здійснювати зйомку фото і відео без отримання додаткових дозволів.
"Шкідливий додаток, що працює на смартфоні Android, який може зчитувати дані з карти SD, не тільки має доступ до минулих фотографій і відео, але і за допомогою цієї нової методології атаки може бути направлено на ініціювання (зняття) нових фотографій і відео за запитом. Але це ще не все. Оскільки метадані GPS зазвичай вбудовуються в фотографії, зловмисник може скористатися цим фактом, щоб також визначити місцезнаходження користувача, зробивши фотографію або відео і проаналізувавши відповідні дані EXIF ", - написали фахівці.
Це велика проблема, оскільки дуже багато програм регулярно запитують дозвіл на доступ до накопичувача - наприклад, ігри, потокові служби і навіть програми з прогнозом погоди. Згідно зі звітом Checkmarx, ця роздільна здатність є найбільш поширеною на платформі Google Android: "Існує велика кількість додатків із законними варіантами використання, які запитують доступ до цього сховища, але не виявляють особливого інтересу до фотографій або відео. Фактично це одне з найпоширеніших запитуваних дозволів ".
Що ще гірше, дослідники створили працюючий додаток, який маркується під додаток погоди, але тихо відправляє записи зображень, відео і телефонних дзвінків назад на демонстраційний сервер, в тому числі за віддаленим запитом. Загалом, вразливість досить небезпечна, оскільки вона дозволяє звичайним додаткам, які не мають особливих дозволів, наступне:
- робити знімки і відеоролики, навіть якщо телефон заблокований або екран вимкнений;
- отримувати дані про розташування GPS зі збережених фотографій;
- слухати двосторонні розмови, навіть коли записується відео і фотографії;
- вимикати звук затвора камери, щоб жертва не чула зйомку;
- передавати старі відео і фотографії, що зберігаються на карті пам'яті.
Checkmarx розкрила цю вразливість Android 4 липня 2019 року, а до 23 липня Google позначила цю вразливість високим пріоритетом. 1 серпня компанія підтвердила підозри дослідників про те, що вразливість торкнулася програми камер інших виробників смартфонів Android, і випустила заплатку CVE-2019-2234. За словами Google, ця вразливість у додатку «Камера» була виправлена в липні 2019 року за допомогою оновлення в Google Play Store, і заплатки були випущені для інших постачальників. Всім користувачам наполегливо рекомендується перейти на останню версію Android і переконатися, що використовується оновлена програма «Камера».
