Google z poważną luką w aplikacji aparatu. Przestępcy mogli nagrywać nieświadomych użytkowników

Strona główna Aktualności
Zawinił wadliwy system uprawnień, fot. Shutterstock.com
Zawinił wadliwy system uprawnień, fot. Shutterstock.com

O autorze

O tym, że w systemie Android odnaleziono jakąś lukę słyszy się średnio dwa-trzy razy w tygodniu i nikogo to już raczej nie dziwi. Rzadko kiedy jednak mowa o czymś tak dotkliwym jak możliwość przejęcia przez przestępcę całkowitej kontroli nad aparatem.

Sprawa dotyczy telefonów tworzonych bezpośrednio przez Google'a, z serii Pixel, jak również urządzeń marki Samsung. Odkrytą podatność oznaczono ciągiem CVE-2019-2234.

Badacze z firmy Checkmarx, który wykryli zagrożenie, nie chcą ujawniać dokładnych szczegółów ataku. Tłumaczą tylko dość ogólnikowo, że "manipulując konkretnymi funkcjami i uprawnieniami, napastnik może przejąć kontrolę nad aplikacją aparatu, aby wykonać zdjęcie lub nagrać film". Jak czytamy w raporcie, nie jest w tym celu wymagana żadna zgoda ze strony użytkownika urządzenia. Szkodliwy kod potrafi samodzielnie przełamać system uprawnień.

Ponadto, ta sama luka pozwala ponoć na uzyskanie dostępu do wcześniej wykonanych zdjęć i wideo, bazując wyłącznie na uprawnieniu do zapisu danych w pamięci smartfonu, które takiej możliwości teoretycznie nie gwarantuje. W rezultacie potencjalny napastnik zyskuje bardzo niebezpieczne narzędzie. Może nie tylko sfotografować lub nagrać ofiarę, ale także ustalić chociażby jej położenie, analizując zapisywane w plikach obrazu metadane GPS.

Prognoza pogody z niespodzianką

Aby unaocznić problem, sfabrykowano pewną aplikację pogodową, dodając do niej szkodliwy kod i wiążąc z serwerem wydawania rozkazów (C&C). Według przedstawionej relacji, specjalistom udało się w ten sposób:

  • Zrobić zdjęcie i nagrać film, po czym przesłać na własny serwer.
  • Pobrać tagi GPS ze zdjęć znajdujących się w pamięci, pochodzących z ostatnich dni, by w ten sposób zlokalizować telefon.
  • Wyciszyć smartfon przed zrobieniem zdjęcia, aby ofiara nie usłyszała dźwięku migawki.
  • Zsynchronizować nagrywanie z połączeniem głosowym i zarejestrować wideo z głosem podczas rozmowy.

Według badaczy, Google i Samsung zostały poinformowane o odkryciu na przełomie lipca i sierpnia 2019, a na dzień 19 listopada były już dostępne aktualizacje eliminujące błąd.

Niniejszy nowinka pełni więc przede wszystkim rolę informacyjną, choć posiadając sprzęt Google'a lub Samsunga, należy bezwzględnie pamiętać o przeprowadzeniu aktualizacji aplikacji aparatu.

© dobreprogramy
s