Oprogramowanie szpiegowskie jest w kishine. Google potwierdziło poważną lukę w dodatku do aparatu w Androidzie

20 Late 2019, 15:00 Ten materiał możesz przeczytać również w języku rosyjskim autor: Anton Khodorenko

Firma Checkmarx ujawniła lukę w smartfonach Google i Samsunga, która pozwala na poskromienie nagrywania wideo i audio

.

Wykrycie tych funkcji, które mogą potencjalnie wpłynąć na setki milionów użytkowników Androida, jest największe z dotychczasowych.

Kiedy zespół bezpieczeństwa Checkmarx zaczął badać dodatek Google Camera na smartfonach Pixel 2XL i Pixel 3, znalazł kilka wariantów.

"

Nasz zespół znalazł sposób na manipulowanie określonymi akcjami i podpowiedziami, który pozwala każdemu dodatkowi kontrolować dodatek Kamera Google bez specjalnych uprawnień. Ta sama technologia może być również zastosowana w aplikacjach aparatu Samsunga" - powiedział Erez Yalon, dyrektor ds. badań nad bezpieczeństwem w firmie Checkmarx.

Skutki tych zakłóceń, odzwierciedlające obecność smartfonów Google i Samsunga na liście, stanowią poważne zagrożenie dla setek milionów użytkowników.

Same funkcje (CVE-2019-2234) pozwalały dodatkowi do smartfona na zdalne odbieranie danych z kamery, mikrofonu oraz danych o lokalizacji GPS. Możliwość zrobienia tego jest na tyle poważna, że projekt z kodem wirtualizacji Androida (

AOSP), w szczególności, ma zestaw uprawnień, które każdy dodatek musi zażądać od użytkownika i pochwalić je, zanim pozwolą na takie działania.

Badacze Checkmarx stworzyli skrypt ataku, który wykorzystywał sam dodatek Google Camera do ominięcia tych uprawnień. Dokonali tego, tworząc złośliwy dodatek, który wykorzystywał jedno z najczęściej rejestrowanych uprawnień: dostęp do sklepu.

Firma Checkmarx stworzyła exploit do weryfikacji koncepcji (

PoC), tworząc shkidlivy dodatok, meteorologiczny dodatok popularny w sklepie Google Play. Program ten nie wymaga żadnych specjalnych uprawnień poza podstawowym dostępem do sklepu.

Program ten był jednak daleki od niewinności. Aplikacja składała się z dwóch części: oprogramowania klienckiego, które działa na smartfonie, oraz serwera kontrolno-monitorującego, z którym łączy się w celu wykonywania poleceń napastnika. Po zainstalowaniu i uruchomieniu programu, utworzy on stałe połączenie z tym serwerem zarządzania i kontroli, a następnie usiądzie i będzie czekał na instrukcje. Zamknięcie programu nie spowodowało zamknięcia połączenia z serwerem.

Udostępnianie to umożliwia dostęp do zdjęć i filmów znajdujących się w galerii urządzenia, a także nagrywanie rozmów telefonicznych i pobieranie danych geolokalizacyjnych.

Po przejrzeniu raportu okazało się, że problem dotyczył nie tylko Pixeli, ale także wszelkich smartfonów z zainstalowaną Kamerą Google. Problem został naprawiony wraz z wydaniem łatki dla Google Camera w lipę, Samsung wydał łatkę we wrześniu. O istnieniu problemu dowiedzieliśmy się dopiero teraz.

"Jesteśmy wdzięczni Checkmarx za zwrócenie nam uwagi na ten problem i współpracę z Google i partnerami Androida w celu skoordynowania ujawnienia informacji.

Problem został rozwiązany na zepsutych urządzeniach Google poprzez aktualizację Sklepu Play dla dodatku Google Camera w lpn 2019. Łata była również dostępna dla wszystkich partnerów", przyznało Google. Zapisz się na codzienny biuletyn e-mail
z sekcji Technologia Coroczna aktualizacja, jak technologia zmienia świat, aby
zapisać się na
17:00