Chyba v telefonech s Android umožňuje aplikacím tajně pořizovat audio a video záznamy

Bezpečnostní chyba v chytrých telefonech s Androidem od společností Google a Samsung umožňovala škodlivým aplikacím nahrávat videa, pořizovat fotografie, zaznamenávat zvuk a odesílat tento obsah na vzdálený server bez souhlasu uživatele.

Tuto chybu zabezpečení objevila bezpečnostní firma Checkmarx a dnes na ni upozornila Ars Technica. Zranitelnost měla potenciál nechat smartphony vysoce postavených obětí nelegálně zaznamenávat dění v okolí.

Android předpokládá přístup aplikací k fotoaparátu a mikrofonu pouze s povolením uživatele, ale s tímto konkrétním exploitem aplikace mohla pomocí kamery a mikrofonu zachytit video a zvuk bez výslovného souhlasu uživatele. Jediné, co k tomu bylo potřeba, je získat povolení k přístupu k úložišti zařízení, které se běžně uděluje, protože o to žádá většina aplikací.

Pro demonstraci fungovaní chyby, Checkmarx vytvořil aplikaci ověřující koncept, která na první pohled vypadala jako aplikace pro počasí, ale ve skutečnosti shromažďovala spoustu dat na pozadí.

Výsledkem bylo zjištění, že škodlivá aplikace dokázala fotit a nahrávat videa, i když obrazovka telefonu byla vypnutá nebo aplikace byla zavřena, a také získat přístup k údajům o poloze z fotografií. Navíc fungovala v tajném režimu, eliminovala zvuk závěrky fotoaparátu a mohla také nahrávat obousměrné telefonní rozhovory. Všechna data bylo možné odeslat na vzdálený server.

Společnost Google vyřešila tuto chybu zabezpečení v telefonech Pixel prostřednictvím aktualizace fotoaparátu, která byla spuštěna již v červenci. Společnost Samsung tuto chybu zabezpečení také opravila, i když není známo kdy.

Podle společnosti Checkmarx, Google prohlásil, že telefony na bázi Android od jiných výrobců mohou být také zranitelné, takže stále mohou být některá zařízení, která jsou otevřena útokům. Google ovšem nezveřejnil konkrétní výrobce a modely.

Není známo, proč aplikace mohly mít přístup k fotoaparátu bez povolení uživatele. V e-mailu společnosti Ars Technica, Checkmarx spekuluje, že by to mohlo souviset s rozhodnutím společnosti Google o spolupráci fotoaparátu s Asistentem Google, což je funkce, kterou mohli implementovat i jiní výrobci.

Zdroj: https://www.macrumors.com/

,

Naše služby

Penetrační testování

Vyhledávání odposlechů

Rušičky odposlechů

Hardware

Školení

Následující příspěvek
Zařízení IOT jsou napadena do pěti minut od připojení
Předchozí příspěvek
Chyba SIM karty umožňuje hackerům nabourat mobil pouhým odesláním SMS

Podobná témata

Menu