Посторонние приложения могли делать фото и видео, записывать голоса во время разговора и отслеживать перемещение устройства.
Глава отдела безопасности компании Checkmarx Эрез Ялон (Erez Yalon) рассказал о найденной уязвимости в приложении «Камера» на устройствах Google и Samsung. Ошибка позволяла приложениям без необходимых разрешений снимать фото и видео даже на заблокированном устройстве.
- Уязвимость обнаружили на смартфонах Pixel 2 XL и Pixel 3, а также на устройствах Samsung, но не назвали конкретных. Компании разрешили публикацию отчёта и заявили об исправлении уязвимости. Google также отправила исправление своим партнёрам;
- Исследователи рассказали, что уязвимость позволяла сторонним приложениям управлять камерой, не имея на это разрешений;
- Злоумышленники также могли получить доступ к сохранённым на устройстве фото и делать новые снимки, даже если телефон заблокирован или находится в режиме голосового вызова;
- Уязвимость позволяла записывать во время разговора голоса обеих собеседников и предоставляла доступ к GPS-меткам. С помощью этого злоумышленники могли бы отслеживать перемещение устройства, считают в Checkmarx;
- Исследователи создали приложение для отслеживания погоды, которое запрашивало только одно разрешение — на доступ к памяти. Они выяснили, что закрытие приложения не обрывает соединение с сервером, предоставляя злоумышленникам список всех подключённых устройств.