Błąd w Androidzie pozwalał na potajemne nagrywanie z kamery telefonu

Błąd w Androidzie pozwalał na potajemne nagrywanie z kamery telefonu

Opublikowano 20.11.2019 13:09 -


Nie tak dawno pisałem o błędzie w iPhone’ach, gdzie po aktualizacji do najnowszej wersji iOS występował błąd, kiedy podczas przeglądania Facebooka kamera się aktywowała. Google postanowiło nie być w tyle i właśnie poinformowało o błędzie w Androidzie, który umożliwia hakerom potajemne nagrywanie z kamery urządzenia.

Istotne jest, że możliwość nagrywania istniała także, gdy telefon był zablokowany i ekran był wyłączony. To dość poważny problem, dlatego firma szybko wydała informacje o tym błędzie.

Luka została znaleziona przez analityków z Checkmax. Znaleziono go pierwotnie w funkcji kamery Google (numer zgłoszenia CVE-2019-2234). Początkowo mówiono jedynie o urządzeniach Pixel, ale szybko zweryfikowano, że błąd istnieje także na urządzeniach Samsunga i innych producentów.

Facebook potajemnie używa kamery iPhone'a podczas przeglądania serwisu

„Osoba atakująca może kontrolować aplikację w celu robienia zdjęć i/lub nagrywania filmów za pośrednictwem nieuczciwej aplikacji, która nie ma do tego żadnych uprawnień. Ponadto stwierdziliśmy, że niektóre scenariusze ataków umożliwiają złośliwym podmiotom obejście zasad dotyczących uprawnień do przechowywania, dzięki czemu mają one dostęp do filmów i zdjęć, a także metadanych GPS osadzonych na zdjęciach, w celu zlokalizowania użytkownika przez zrobienia zdjęcia lub filmu i analizę danych EXIF”.

- tak sprawę opisują analitycy Checkmax.

Analizę i wyniki badań szybko opublikowano w serwisie YouTube:

Google potwierdziło występowanie problemu i podziękowało analitykom za pracę. Dodatkowo poinformowano, że problem został właśnie naprawiony:

„Doceniamy, że Checkmax zwrócił na to naszą uwagę i współpracuje z partnerami Google i Android w celu koordynacji tego typu ujawnień. Problem został rozwiązany na urządzeniach Google, których dotyczył, poprzez aktualizację Google Camera w Sklepie Play. Naprawiono go w lipcu 2019. Łatka następnie została udostępniona wszystkim partnerom”.

Dobrą radą dla Google może być to, żeby ich Project Zero skupił się bardziej na analizie ich oprogramowania, niżeli na szukaniu błędów u konkurencji.

źródło: thenextweb.com

Wieści z Rozładowani.pl