Przejdź na

Google z poważną luką w aplikacji aparatu. Przestępcy mogli nagrywać nieświadomych użytkowników

O tym, że w systemie Android odnaleziono jakąś lukę słyszy się średnio dwa-trzy razy w tygodniu i nikogo to już raczej nie dziwi. Rzadko kiedy jednak mowa o czymś tak dotkliwym jak możliwość przejęcia przez przestępcę całkowitej kontroli nad aparatem.

Zawinił wadliwy system uprawnień, fot. Shutterstock.comZawinił wadliwy system uprawnień, fot. Shutterstock.com
Piotr Urbaniak
Piotr Urbaniak

Sprawa dotyczy telefonów tworzonych bezpośrednio przez Google'a, z serii Pixel, jak również urządzeń marki Samsung. Odkrytą podatność oznaczono ciągiem CVE-2019-2234.

Badacze z firmy Checkmarx, który wykryli zagrożenie, nie chcą ujawniać dokładnych szczegółów ataku. Tłumaczą tylko dość ogólnikowo, że "manipulując konkretnymi funkcjami i uprawnieniami, napastnik może przejąć kontrolę nad aplikacją aparatu, aby wykonać zdjęcie lub nagrać film". Jak czytamy w raporcie, nie jest w tym celu wymagana żadna zgoda ze strony użytkownika urządzenia. Szkodliwy kod potrafi samodzielnie przełamać system uprawnień.

Ponadto, ta sama luka pozwala ponoć na uzyskanie dostępu do wcześniej wykonanych zdjęć i wideo, bazując wyłącznie na uprawnieniu do zapisu danych w pamięci smartfonu, które takiej możliwości teoretycznie nie gwarantuje. W rezultacie potencjalny napastnik zyskuje bardzo niebezpieczne narzędzie. Może nie tylko sfotografować lub nagrać ofiarę, ale także ustalić chociażby jej położenie, analizując zapisywane w plikach obrazu metadane GPS.

Prognoza pogody z niespodzianką

Aby unaocznić problem, sfabrykowano pewną aplikację pogodową, dodając do niej szkodliwy kod i wiążąc z serwerem wydawania rozkazów (C&C). Według przedstawionej relacji, specjalistom udało się w ten sposób:

  • Zrobić zdjęcie i nagrać film, po czym przesłać na własny serwer.
  • Pobrać tagi GPS ze zdjęć znajdujących się w pamięci, pochodzących z ostatnich dni, by w ten sposób zlokalizować telefon.
  • Wyciszyć smartfon przed zrobieniem zdjęcia, aby ofiara nie usłyszała dźwięku migawki.
  • Zsynchronizować nagrywanie z połączeniem głosowym i zarejestrować wideo z głosem podczas rozmowy.

Według badaczy, Google i Samsung zostały poinformowane o odkryciu na przełomie lipca i sierpnia 2019, a na dzień 19 listopada były już dostępne aktualizacje eliminujące błąd.

Niniejszy nowinka pełni więc przede wszystkim rolę informacyjną, choć posiadając sprzęt Google'a lub Samsunga, należy bezwzględnie pamiętać o przeprowadzeniu aktualizacji aplikacji aparatu.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥