Уязвимости в Android в приложението за Камера по подразбиране позволяват на хакерите да правят отдалечено снимки, да записват видео и да воайорстват потребителите, без да забележат.

Експерти предупреждават за няколко нови уязвимости засягащи смартфоните на Google и Samsung, които биха могли да позволят на нападателя на поеме контрола върху приложението за камера на устройството, с което дистанционно да заснема снимки, да записва видео и дори да шпионира продължително дейностите на потребителя, както и да подслушва неговите лични разговори, заедно с местоположението, до което приложението за камера по принцип има достъп.

Слабостите бяха открити от изследователския екип по сигурност на мобилни системи Checkmarx, който първоначално започна проучване на приложението Google Camera на фирмените модели Google Pixel 2XL и Pixel 3, като откриха множество уязвимости, произтичащи от проблеми с байпаса на разрешения за достъп. Приложението Google Camera е смятано за една от най-добрите апликации за заснемане, като много потребители го инсталират сами на редица устройства от други производители, с което създават доста по-добри кадри, спрямо тези с основните приложения на камерите им.

Когато Checkmarx разравя още по-нататък, установява, че същите тези уязвимости са налични и в приложенията по подразбиране за камери на устройствата на Samsung, както и на други топ производители на Android смартфони.

Директорът по изследванията на сигурността в Checrmarx Ерез Ялон и старши изследователя по сигурността в компанията Педро Умебелино, обясняват в блог публикация как са успели да проникнат и да поемат контрола над приложението Google Camera, казвайки:

„След подробен анализ на приложението Google Camera, нашият екип установи, че чрез манипулиране на конкретни действия и намерения, нападател може да контролира приложението да прави снимки и / или да записва видеоклипове чрез нелоялно приложение, което няма разрешения за това.“

„Освен това установихме, че определени сценарии за атака позволяват на злонамерените участници да заобикалят различни правила за разрешение за съхранение, давайки им достъп до съхранявани видеоклипове и снимки, както и GPS метаданни, вградени в снимки, за да намерят потребителя, като направят снимка или видео и анализират правилни EXIF ​данни. Същата техника се прилага и за приложението Camera на Samsung.“

Уязвимости на приложението на камератаЗа да използва уязвимостите, които екипът му намери в приложението Google Camera, Checkmarx разработи злонамерено приложение като доказателство за експлоатация на концепцията. Създаденото от тях приложение за показване на времето не изискваше специални разрешения освен основен достъп до съхранение, което е обичайно разрешение, поискано от много други приложения в Google Play Store.

Дори ако потребителят затвори приложението, то все пак ще бъде свързано със сървъра и нападателят може да му даде команда да прави снимки, да записва видео, да записва аудио от гласови повиквания, да улавя GPS маркери от снимки и да получава достъп до данните, съхранени в устройство. След това всички снимки и видеоклипове, направени от приложението, ще бъдат качени на сървъра.

Концептуално разработеното приложение дава възможност за шпионаж дори ако смартфонът е заключен.

7
ДОБАВИ КОМЕНТАР

avatar
6 Коментари
1 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
Prasko1
Prasko1

То говноид може и баба да го хакне

DebainBuster
DebainBuster

https://www.ebay.co.uk/itm/3x-Webcam-Covers-Ultra-Thin-Web-Camera-Cover-Slide-for-Mobile-IPad-Laptop-PC-Mac/123853680908?hash=item1cd641310c:g:5VIAAOSwsVtczVS~
Универсален пач за всички софтуерни уязвимости на камерите

Станислав
Станислав

Яко!!! Всъщност цялата информационна сигурност нарочно е пълна с дупки, които уж оправят други дупки, а когато нещо е направено непробиваемо нарочно се манипулира мнението за него така, че да се използва от най-малко хора. Всичко е за да Ви надзирава бай Ви брадър, да Ви налага от неговите модели на мислене, да пасете мирно за да му робувате сте живи.

Zzz
Zzz

Тези „уязвимости“ са нарочно заложени, за да бъдат следени и подслушвани хората без усилия. Проблем възниква когато някой който не е от „нашите хора“ научи за тях.
Дали сега САЩ ще наложат забрана на телефоните на Самсунг от съображения за „сигурност“?

Курти
Курти

Всъщност,тези „Уязвимости“ са си съвсем умишлено в кода на приложението,все пак Гугъл е най-големия шпионин в света.Дали САЩ ще забрани приложенията на Гугъл,или ще се направят на разсеяни. А проблемът не е в Андроид а във външно приложение,не бъркайте двата щата.

Тахтун
Тахтун

Чудя се от къде сте толкоз сигурни, че „дупките“ са оставени нарочно! Мислех , че само руснаците поради денонощната пропаганда за „врага“ са такива параноици, но май у нас е подобно. Внимавайте, параноята е един от първите признаци на болестта на Алцхаймер!

Trial
Trial

Мдааа…ако ще и 100тина Сноудъновци да излязат с разкрития за Big Brother, все ще има папагали като горния, дето да омаловажават вече всеизвестното!

По някаква странна случайност, на такива „капацитети“ все Русия им е в устата…