Massiivinen Android -vika jätti kamerasovelluksen haavoittuviksi kaappaajille
Kuva: Google
Turvallisuustutkijat paljastivat valtavan haavoittuvuuden Googlen Android -käyttöjärjestelmässä, joka olisi voinut antaa hakkereiden päästä käsiksi käyttäjien valokuviin ja kameraan heidän tietämättään.
Kamerasovelluksen haavoittuvuus oli mahdollisesti satoja miljoonia Android -puhelimia ja -tabletteja. Tekninen turvallisuusyritys Checkmarx korosti virheen vaaroja luomalla konseptin sääsovellus, joka voi tallentaa puheluita, ottaa valokuvia ja kuvia ja lähettää kaikki tiedot kaukosäätimeen palvelin.
Samsung ja Google koordinoivat Tarkista virheen paljastus. Ongelma kosketti molempia
Google Camera- ja Samsung Camera -sovellukset. Google julkaisi haavoittuvuuden korjaustiedoston CVE-2019-2234 heinäkuussa 2019.
Checkmarx havaitsi, että Android sallii sovellusten käyttää Kamera -sovellusta ja siihen yhdistettyä sisältöä, kun niillä oli vain tallennusoikeudet. Hakkerit olisivat voineet käyttää tätä virhettä valokuvien ottamiseen, videoiden tallentamiseen, GPS -datan ottamiseen valokuvista ja puheluiden automaattiseen tallentamiseen. Tässä on video tiimistä hakkeroimalla Pixel -kameraa.
Löydettyään virheen Pixel -puhelimissa tiimi tutki muita Android -puhelimia ja havaitsi, että se oli läsnä myös Samsungin laitteissa.
”Arvostamme, että Checkmarx toi tämän tietoomme ja työskenteli Googlen ja Android -kumppaneiden kanssa tietojen julkistamiseksi. Ongelma ratkaistiin Google -laitteissa, joihin se vaikutti, Google Play -sovelluksen Play Kaupan päivityksen kautta heinäkuussa 2019. Laastari on myös saatettu kaikkien kumppaneiden saataville. ”