Компания Checkmarx обнаружила уязвимость в смартфонах Google и Samsung, которая позволяет тайно записывать видео и аудио, фотографировать и загружать все файлы на сторонний сервер без разрешения пользователя.
Для этого приложению достаточно получить разрешение на доступ к хранилищу устройства.
Чтобы доказать наличие ошибки, исследователи безопасности разработали простое приложение для показа погоды. В фоновом режиме оно могло снимать фотографии и видео, даже при выключенном экране.
Демонстрация работы эксплойта.
Ещё злоумышленники могут записывать звонки и использовать датчик приближения.
Последнее очень важно, поскольку при использовании уязвимости на экране смартфона может показываться иконка камеры, поэтому пользователи без труда могут понять, что за ними кто-то следит.
Но датчик приближения позволяет обойти это ограничение. С его помощью хакеры могут активировать запись видео, когда дисплей не используется.
Ошибку нашли в смартфонах Google и Samsung. Обе компании уже устранили её в последних прошивках.
Google отметила, что телефоны других производителей могут быть под угрозой. О каких именно компаниях идёт речь, неизвестно.
Также непонятно, почему приложения смогли получить доступ к камере без разрешения пользователя. Checkmarx предполагает, что это может быть связано с недавним обновлением Google Assistant, в котором появилась поддержка камеры. [Macrumors]
8 комментариев