Компания Checkmarx, специализирующаяся на кибербезопасности, опубликовала доклад, в котором сообщила о крупной уязвимости CVE-2019-2234 в операционной системе Android. Благодаря ей, злоумышленники смогли получить расширенные права доступа к смартфону пользователя без его ведома.
Таким образом, проникнув в систему, хакер мог включить камеру на гаджете жертвы и снимать фотографии, а также видео, параллельно записывая звук и превращая телефон в инструмент шпионажа.
CVE-2019-2234 также давала возможность получить доступ к личным медиа-файлам, хранящимся в памяти устройства, а также геометкам на фото и видео из библиотеки пользователя. Более того, уязвимость позволяла прослушивать разговоры «с обоих концов провода».
И это не весь функционал, который оказывался в руках злоумышленников из-за уязвимости. Злоумышленники также получали доступ к датчику приближения, который точно указывал, когда жертва подносила телефон к уху, что означало скорое начало разговора, который можно было подслушать. Кроме того, этот же сенсор подсказывал хакерам, когда телефон лежал экраном вниз, что позволяло им включать камеру, не боясь быть обнаруженными, так как пользователь не видел того, что в этот момент происходило на дисплее.
Приложение, эксплуатирующее уязвимость CVE-2019-2234, способно вызывать функции камеры, при этом не запрашивая у пользователя соответствующего разрешения, пояснил «Газете.Ru» консультант Центра информационной безопасности компании «Инфосистемы Джет» Глеб Карманов. По его словам, причина этой уязвимости кроется в небезопасной реализации предоставления доступа к стандартному приложению «Камера» от Google.
«Вредоносное приложение, установленное на телефон, запрашивает у пользователя разрешение на доступ к SD-карте и получает доступ к камере пользователя с помощью объектов Intent. Intent представляет собой объект обмена сообщениями, с помощью которого можно запросить выполнение действия у компонента другого приложения», — сказал Карманов.
Сообщается, что Checkmarx впервые обнаружила эту опасную уязвимость летом текущего года во время тестирования камеры на смартфонах Google Pixel 2 XL и Pixel 3. Дальнейшее расследование показало, что такая же дыра в безопасности обнаружена и у других производителей смартфонов на базе ОС Android, включая южнокорейского вендора Samsung.
В Checkmarx заявили о том, что сразу после обнаружения уязвимости отправили предупреждения руководству Google и Samsung.
«Мы благодарны Checkmarx за то, что они обратили на это наше внимание. Мы работаем совместно с Google и Android для расследования этой ситуации. Проблема затронула устройства Google после обновления для приложения Google Camera в Play Store. Мы выпустили патч, доступный для всех наших партнеров», — сообщил официальный представитель Google.
В Samsung также отреагировали на сообщения о проблемах с безопасностью смартфонов.
«С тех пор, как нас уведомили об этой проблеме, мы выпустили патчи для всех устройств Samsung, подверженных уязвимости. Мы ценим наше сотрудничество с командой Android, которое помогло нам найти и разобраться с этой проблемой напрямую», — заявил спикер южнокорейского производителя. Стоит отметить, что компания не уточнила, когда именно был выпущен патч и как владельцы гаджетов Samsung могут проверить, установлен ли он на их устройствах.
Однако, помимо телефонов Google и Samsung, многие другие гаджеты также работают на базе Android, а значит могут потенциально все еще быть подвержены уязвимости.
В докладе Checkmarx ничего не говорится о том, какие еще вендоры могли пострадать, поэтому владельцам гаджетов с Android стоит на всякий случай обновить свое программное обеспечение до последней версии, чтобы себя обезопасить.
На прошлой неделе стало известно о другой уязвимости, связанной с неавторизованным доступом к камере смартфона. Как оказалось, приложение Facebook для iOS при просмотре пользователем ленты новостей иногда непроизвольно включало его камеру и записывало происходящее рядом с ним. В компании Facebook заявили о том, что этот баг появился «непреднамеренно». На момент публикации заметки уже выпущен патч, устраняющий эту уязвимость.
Маргарита Герасюкова