Chyba v telefonech s Android umožňuje aplikacím tajně pořizovat audio a video záznamy

Bezpečnostní chyba v chytrých telefonech s Androidem od společností Google a Samsung umožňovala škodlivým aplikacím nahrávat videa, pořizovat fotografie, zaznamenávat zvuk a odesílat tento obsah na vzdálený server bez souhlasu uživatele.

Tuto chybu zabezpečení objevila bezpečnostní firma Checkmarx a dnes na ni upozornila Ars Technica. Zranitelnost měla potenciál nechat smartphony vysoce postavených obětí nelegálně zaznamenávat dění v okolí.

Android předpokládá přístup aplikací k fotoaparátu a mikrofonu pouze s povolením uživatele, nicméně zneužitím aplikace bylo možné pomocí kamery a mikrofonu zachytit video a zvuk bez výslovného souhlasu uživatele. Jediné, co k tomu bylo potřeba, bylo získat povolení k přístupu k úložišti zařízení, které se běžně uděluje a žádá o ně většina aplikací.

Pro demonstraci fungovaní chyby – Checkmarx vytvořil aplikaci, která na první pohled vypadala jako aplikace pro počasí, ale ve skutečnosti shromažďovala spoustu dat na pozadí.

Výsledkem bylo zjištění, že škodlivá aplikace dokázala fotit a nahrávat videa, i když obrazovka telefonu byla vypnutá nebo nebyla aplikace spuštěná, a také získat přístup k údajům o poloze z fotografií. Navíc fungovala v tajném režimu, eliminovala zvuk závěrky fotoaparátu a mohla také nahrávat obousměrné telefonní rozhovory. Všechna data bylo možné odeslat na vzdálený server.

Společnost Google vyřešila tuto chybu zabezpečení v telefonech Pixel prostřednictvím aktualizace fotoaparátu, která byla spuštěna již v červenci. Společnost Samsung tuto chybu zabezpečení také opravila, i když není známo kdy.

Podle společnosti Checkmarx, Google prohlásil, že telefony na bázi Android od jiných výrobců mohou být také zranitelné, takže je možné, že stále existují zařízení, která jsou otevřena útokům. Google ovšem nezveřejnil konkrétní výrobce ani modely.

Není známo, proč aplikace mohly mít přístup k fotoaparátu bez povolení uživatele. V e-mailu společnosti Ars Technica, Checkmarx spekuluje, že by to mohlo souviset s rozhodnutím společnosti Google o spolupráci fotoaparátu s Asistentem Google, což je funkce, kterou mohli implementovat i jiní výrobci.

Společnost EO SECURITY s.r.o. provádí penetrační testovaní za účelem odhalení zranitelností ve firemní infrastruktuře.

Dále nabízíme rušičky odposlechu, které zabraní úniku informací během důležitých jednání.

V případě zájmu o naše služby nás kontaktujte na telefonu +420 774 429 006 nebo e-mailu office@eo-security.com.

Zdroj: https://www.macrumors.com/

,

Naše služby

Penetrační testování infrastruktury

Skenování zranitelností webových aplikací a interní infrastruktury

Testování pomocí metod sociálního inženýrství

Testování Wi-Fi sítí

Šifrovaný telefon

Rušičky odposlechů

Šifrovaný disk

Penetrační testování webových aplikací

Konzultace IT bezpečnosti

Vyhledávání odposlechů

Následující příspěvek
Zařízení IOT jsou napadena do pěti minut od připojení
Předchozí příspěvek
Chyba SIM karty umožňuje hacknout mobil pouhým odesláním SMS
Menu