Приложения для Android-камер могут быть использованы для шпионажа за пользователями

Приложения для Android-камер могут быть использованы для шпионажа за пользователями

Исследователи Checkmarx обнаружили, что уязвимость в приложении Google Camera может позволить злоумышленникам тайно делать снимки и записывать видео, даже если телефон заблокирован или экран выключен .

В дополнение к этому злоумышленники также могли бы прослушивать и записывать телефонные разговоры, отключать звук затвора камеры, передавать снятые фотографии, видео и данные на свой C & C-сервер и извлекать данные о местоположении GPS на основе метаданных фотографии.

Android-камера шпион: открытие

Исследователи Checkmarx изучили приложение Google Camera на устройствах Google Pixel 2 XL и Pixel 3 и обнаружили несколько проблем, связанных с обходом разрешений, которые вместе называются CVE-2019-2234.

Эти проблемы могут быть использованы через приложение, которое имеет одно-единственное разрешение: доступ к хранилищу устройства (например, SD-карта).

«После детального анализа приложения Google Camera наша команда нашла способ манипулировать конкретными действиями и намерениями , позволяя любому приложению без специальных разрешений управлять приложением Google Camera», — заявил Эрез Ялон, директор по исследованиям в области безопасности. Checkmarx.

«Чтобы должным образом продемонстрировать, насколько это может быть опасно для пользователей Android, наша исследовательская группа разработала и внедрила приложение для проверки концепции, которое не требует каких-либо специальных разрешений, кроме основного разрешения на хранение. Имитируя продвинутого злоумышленника, PoC состоял из двух рабочих частей: клиентской части, представляющей вредоносное приложение, работающее на устройстве Android, и серверной части, представляющей командно-контрольный сервер (C & C) злоумышленника. Когда клиент запускает приложение, он, по сути, создает постоянное соединение обратно с сервером C & C и ожидает команд и инструкций от злоумышленника, который управляет консолью сервера C & C, из любой точки мира».

Разработанное ими PoC-приложение было якобы погодным приложением, и, как сказал Йалон в Help Net Security, оно прошло бы процедуру проверки в Google Play Store, прежде чем они сообщили об этой проблеме в Google.

Как отмечалось ранее, с помощью такого приложения и соединения злоумышленник может заставить приложение камеры делать фотографии, записывать видео, ждать голосового вызова и автоматически записывать звук с обеих сторон разговора ( функция ожидания голосового вызова была реализована с помощью датчик приближения телефона, который может распознавать, когда телефон подносится к уху жертвы), работать в скрытом режиме, загружать записанное видео и аудио на удаленный сервер и многое другое.

Что вы можете сделать?

Исследователи поделились своими результатами с Google, который подтвердил, что уязвимости затронули все модели телефонов Google и, вероятно, других производителей Android.

«Приложение Google Camera является частью приложений, которые по умолчанию установлены на телефонах Pixel», — отметил Ялон. «Некоторые поставщики, например Samsung, используют свое собственное приложение для камеры, другие могут использовать приложение по умолчанию. Кроме того, пользователи могут не использовать свое приложение по умолчанию и загружать приложение Google или другое».

Затем исследователи связались с другими поставщиками по поводу уязвимостей и получили ответ от Samsung, чьи приложения для камер также были признаны уязвимыми.

«Проблема была решена на устройствах Google с уязвимостью через обновление Play Store для приложения Google Camera в июле 2019 года. Патч также был доступен для всех партнеров», — сообщила Google исследователям.

Samsung подтвердила, что исправления были опубликованы. Тем не менее, следует отметить, что последние выпущенные версии двух приложений для камер в Google Play датированы 3 июля 2018 года.

Исследователи советуют пользователям обновлять приложения до последней доступной версии и регулярно обновлять ОС Android.

Правда одно неясно, зачем давать совет, который практически невыполним? Ведь «регулярно обновлять ОС Android» для большинства пользователей этой ОС звучит скорее как издевательство.

По материалам

Alt text

Владимир Безмалый

О безопасности и не только