Исследователи из Checkmarx обнаружили в Android уязвимость допуска разрешений Google Camera.
Исследователи узнали, что злоумышленники могут управлять камерой: независимо от вас включать её, записывать видео и делать фото, а также отправлять эти данные себе. Всё это делается при помощи специального приложения, у которого нет доступа на подобные действия.
Кроме того, мы обнаружили, что некоторые сценарии атак позволяют злоумышленникам обходить различные разрешения на хранение, предоставляя им доступ к сохранённым видео и фотографиям, а также к метаданным GPS, встроенным в фотографии, для определения местоположения пользователя путем съёмки фотографии или видео и анализа EXIF.
Checkmarx
Для подтверждения своих слов исследователи опубликовали видео:
Они дистанционно запустили приложение камеры, сделали фото и сразу определили по GPS место, где был сделан снимок.
Каких смартфонов касается проблема?
Точные модели не названы, но исследователи говорят про Google Pixel и некоторые модели Samsung Galaxy. И если в первом случае речь идёт конкретно о Google Camera, то во втором — о стандартном приложении «Камера» на корейских смартфонах.
Это серьёзно?
Любая подобная проблема является серьёзной. Но, как того и требуют предписания, Checkmarx проинформировала Google ещё в июле. На данный же момент все проблемы устранены. Поэтому рекомендую вам как можно скорее установить все пропущенные обновления, чтобы злоумышленники не получили доступ к вашей персональной информации.