Chyba v telefonech s Androidem umožňuje aplikacím tajně pořizovat audio a video záznamy

Bezpečnostní chyba v chytrých telefonech s Androidem od společností Google a Samsung umožňovala škodlivým aplikacím nahrávat videa, pořizovat fotografie, zaznamenávat zvuk a odesílat tento obsah na vzdálený server bez souhlasu uživatele.

Tuto chybu zabezpečení objevila bezpečnostní firma Checkmarx a dnes na ni upozornila Ars Technica. Zranitelnost měla potenciál nechat smartphony vysoce postavených obětí nelegálně zaznamenávat dění v okolí.

Android umožňuje přístup aplikací k fotoaparátu a mikrofonu pouze s povolením uživatele. Zneužitím aplikace bylo možné pomocí kamery a mikrofonu zachytit video a zvuk bez výslovného souhlasu uživatele. Stačilo k tomu pouze získat povolení k přístupu k úložišti zařízení, které se běžně uděluje a žádá o něj většina aplikací.

Checkmarx například vytvořil aplikaci, která na první pohled vypadala jako aplikace na počasí, ale ve skutečnosti shromažďovala data na pozadí.

Výsledkem bylo, že aplikace dokázala fotit a nahrávat videa, i když obrazovka telefonu byla vypnutá nebo nebyla aplikace spuštěná. Současně získávala i přístup k údajům o poloze z fotografií. Navíc fungovala v tajném režimu, eliminovala zvuk závěrky fotoaparátu a mohla také nahrávat obousměrné telefonní rozhovory. Všechna data bylo možné odeslat na vzdálený server.

Společnost Google vyřešila tuto chybu zabezpečení v telefonech Pixel prostřednictvím aktualizace fotoaparátu, která byla spuštěna již v červenci. Společnost Samsung tuto chybu zabezpečení také opravila, i když není známo kdy.

Podle společnosti Checkmarx, Google prohlásil, že telefony na bázi Android od jiných výrobců mohou být také zranitelné. Je tak možné, že stále existují zařízení, která jsou otevřena útokům. Google ovšem nezveřejnil konkrétní výrobce ani modely.

Není známo, proč aplikace mohly mít přístup k fotoaparátu bez povolení uživatele. V e-mailu společnosti Ars Technica, Checkmarx spekuluje, že by to mohlo souviset s rozhodnutím společnosti Google o spolupráci fotoaparátu s Asistentem Google, což je funkce, kterou mohli implementovat i jiní výrobci.

Zdroj: https://www.macrumors.com/