Уязвимость в Android-смартфонах таких компаний, как Google и Samsung, позволяет вредоносным программам записывать видео и звук, делать снимки, и отправляя контент на удаленный сервер без согласия пользователя.
Уязвимость была обнаружена компанией по безопасности Checkmarx. Из-за этой ошибки смартфоны могут стать подслушивающими устройствами, не только для служб безопасности, Facebook и Google, но и людей, способных использовать новую уязвимость.
Android должен предотвращать доступ приложений к камере и микрофону на смартфоне без согласия пользователя, но в этом конкретном случае приложение может использовать камеру и микрофон для захвата видео и звука без явного разрешения. Все, что нужно сделать, это разрешить доступ к памяти устройства, что обычно и делается, потому что память требуется большинству приложений. Чтобы продемонстрировать уязвимость, Checkmarx создал приложение похоже на прогноз погоды, и при этом собирающее много данных в фоновом режиме.
Программа могла снимать фотографии и записывать видео, даже когда экран телефона был выключен или приложение было закрыто, а также получать доступ к данным о местоположении из фотографий. Программа работала в скрытом режиме, устраняя звук затвора камеры, а также могла записывать телефонные разговоры с записью обеих сторон.
Google устранил уязвимость в своих телефонах Pixel с помощью обновления камеры, выпущенного в июле. Samsung исправил эту ошибку, хотя пока неизвестно, когда. По словам Checkmarx, Google заявил, что сторонние телефоны Android также могут быть затронуты, поэтому могут существовать некоторые устройства, которые уязвимы для атаки. Однако Google не раскрывает конкретных производителей или моделей.
Неизвестно, почему приложения имели доступ к камере без разрешения пользователя. Специалисты из Ars Technica Checkmarx предположили, что это может быть связано с решением Google заставить камеру работать с Google Assistant, функцией, которую могут также реализовать другие производители.