Камера для мобильных телефонов, вероятно, является одним из наших самых чувствительных элементов, потому что, если они не защищены должным образом, злоумышленник может делать снимки и записывать видео в любое время. Теперь группа исследователей из Checkmarx обнаружила очень серьезную уязвимость, обнаруженную в приложении камеры.
Чтобы найти возможные ошибки, исследователи из Checkmarx решили переименовать приложения камеры для Pixel 2 и Pixel 3, где они обнаружили все виды ошибок, которые позволяли обходить разрешения на доступ к ОС. Уязвимость, называемая CVE-2019-2234, позволяет злоумышленнику делать снимки или видео через вредоносное приложение, которое не имеет соответствующих прав, а также дает возможность доступа к файлам в телефоне и данным о местоположении, содержащимся в метаданных для каждого из этих файлов.
Благодаря вредоносному приложению исследователи смогли делать снимки и снимать видео при выключенном телефоне, при выключенном экране или даже во время телефонного разговора, таким образом записывая все содержимое звонка. Чтобы сделать это, вместо того, чтобы пытаться разрешить пользователю разрешать приложению использовать камеру, он стремился воспользоваться преимуществами самого приложения камеры. Единственное, что нужно вредоносному приложению, - это права доступа к хранилищу, которые требуются сегодня многим другим приложениям.
Google и Samsung подтвердили, что их приложения для камер затронуты, что имеет смысл, потому что Google предоставляет основной код для этих приложений производителям. Таким образом, многие другие могут быть затронуты. Оба производителя уже выпустили обновления безопасности, чтобы исправить ошибку, и мы рекомендуем вам установить их без колебаний.
Для получения дополнительной информации и использования этой уязвимости, посмотрите это видео.