Специалисты компании Checkmarx, занимающиеся вопросами кибербезопасности, заявили об обнаруженной уязвимости в операционной системе Android.
Сотрудники Checkmarx утверждают, что путем простых манипуляций можно получить файлы с фотографиями, видео, аудиозаписями и определить местоположение пользователя практически любого смартфона.
Специалисты обратили внимание, что Android обладает широким спектром разрешений для различных приложений.
Разработчики предполагали, что система ограничения доступа к функциям аппарата обеспечит защиту от доступа вредоносного ПО.
Иными словами, без разрешения использовать камеру аппарата злоумышленники не получат с нее какие-либо данные, как и голос владельца без разрешения вести аудиозапись с устройства.
Но самое распространенное разрешение, которое установлено требованиями приложений для доступа к хранилищу, открывает злоумышленникам неограниченные возможности.
Следить за владельцем устройства хакеры могут, даже не используя особенности уязвимости.
Достаточно любого приложения, которое получило разрешение читать и записывать данные на встроенную память.
Впоследствии благодаря такому разрешению злоумышленник может найти и украсть любой файл.
По метаданным фотографий можно определить место нахождения пользователя, если запись геоданных не была принудительно отключена пользователем.
Но специалисты утверждают, что существует уязвимость, увеличивающая возможности вредителей до невероятных масштабов.
Специалисты Checkmarx открыли способ заставить камеру смартфона делать снимки или записывать видео.
Для этого злоумышленники должны провести определенную цепочку (информация не сообщается в целях безопасности) действий и системных вызовов.
Технология позволяет приложению, не имеющему права доступа к камере, производить полноценный захват информации в определенном формате (аудио, видео, фото).
После первого запуска такая программа устанавливает фоновое защищенное соединение с удаленным сервером злоумышленника и находится в режиме ожидания команды, продолжая работать и после закрытия приложения.
Специалисты провели ряд экспериментов со смартфоном Google Pixel 2XL под управлением Android 9.
В результате были получены геоданные всех снимков. Таким образом был продемонстрирован реальный пример слежки во время разговора по телефону рядом с проектором, на который выводились конфиденциальные данные.
При этом смартфон осуществлял видеозапись, файл которой злоумышленник благополучно сохранил себе.
Кроме уязвимости на аппаратах Google, специалисты Checkmarx сообщают, что такой уязвимостью обладают телефоны Samsung.
О сроках устранения подобных ошибок в системе аппаратов до сих пор не сообщается.
Фото: из открытых источников
