Новообявена уязвимост при Android позволява камерата на вашето устройство да ви следи дори и то да е заключено.
Специалистите от компанията са кибер сигурност Checkmarx съобщиха за уязвимост при мобилната операционна система Android, която позволява шпионирнето чрез камерата, дори и при заключен смартфон или друго устройство, използващо операционната система на Google.
Уязвимостта всъщност е намерена през юли тази година, но за нея се съобщава чак сега, за да се даде възможност на разработчиците от Google и Samsung да предоставят кръпка за проблема, преди да е дадена гласност, от която могат да се възползват зложелатели. И докато устройства на Google и Samsung вече са защитени, то останалите продукти, които използват Android все още не са.
Уязвимостта е заведена като CVE-2019-2234 и позволява заобикаляне на правата за достъп, въпреки строгите правила, които налагат от Google. Имайки предвид, че само устройствата на Google и Samsung са защитени към момента, това означава, че милиони устройства са изложени на риск от експлоатиране на уязвимостта.
След като уязвимостта е била съобщена от Checkmarx на екипа по сигурността на Google, през август както Checkmarx, така и от Google са се свързали с различни производители на смартфони за да ги уведомят за проблема. Още тогава от Samsung са потвърдили, че и те са засегнати.
А как действа атаката при новата уязвимост? Всеки потребител знае, че в Android има правила за достъп и всяко едно приложение първо пита за тях и потребителят решава дали да му ги даде или не. Ако достъпът до желаните ресурси бива отказан, то приложението не придобива достъп до тях и не може да ги използва.
Въпреки тези строги правила обаче, от Checkmarx са успели да заобиколят забраната. Приложението за камерата при Android обикновено запазва видео и изображения на външна SD карта памет и затова изисква специално разрешение от потребителя.
Тези правила обаче дават достъп до цялата карта памет, а не до определени части от нея. При атаката, която са осъществили от Checkmarx е установено, че ако зловредно приложение получи достъп до SD картата, то не само може да преглежда всички видео файлове и снимки, но и да кара камерата да заснема нови.
Уязвимостта става още по-опасна, имайки предвид, че в повечето случаи GPS мета данните са вградени в изображения и по този начин кибер престъпник може да получи достъп до тях и да проследи вашето местоположение. И ако това не е достатъчно, от Checkmarx дори са успели да запишат глас по време на разговор.
От Google вече издадоха поправка на този сериозен проблем към своите партньори, а потребителите се призовават да държат своите устройства винаги с последните актуализации. Към момента не е ясно колко устройства са засегнати от уязвимостта и колко от тях ще получат поправката.
