Исследователи рассказали об уязвимости, позволяющей камере на устройствах Google и Samsung шпионить за пользователями

Посторонние приложения могли делать фото и видео, записывать голоса во время разговора и отслеживать перемещение устройства.

Глава отдела безопасности компании Checkmarx Эрез Ялон (Erez Yalon) рассказал о найденной уязвимости в приложении «Камера» на устройствах Google и Samsung. Ошибка позволяла приложениям без необходимых разрешений снимать фото и видео даже на заблокированном устройстве.

  • Уязвимость обнаружили на смартфонах Pixel 2 XL и Pixel 3, а также на устройствах Samsung, но не назвали конкретных. Компании разрешили публикацию отчёта и заявили об исправлении уязвимости. Google также отправила исправление своим партнёрам;
  • Исследователи рассказали, что уязвимость позволяла сторонним приложениям управлять камерой, не имея на это разрешений;
  • Злоумышленники также могли получить доступ к сохранённым на устройстве фото и делать новые снимки, даже если телефон заблокирован или находится в режиме голосового вызова;
  • Уязвимость позволяла записывать во время разговора голоса обеих собеседников и предоставляла доступ к GPS-меткам. С помощью этого злоумышленники могли бы отслеживать перемещение устройства, считают в Checkmarx;
  • Исследователи создали приложение для отслеживания погоды, которое запрашивало только одно разрешение — на доступ к памяти. Они выяснили, что закрытие приложения не обрывает соединение с сервером, предоставляя злоумышленникам список всех подключённых устройств.

 

Источник

Читайте также