Компания Checkmarx обнаружила уязвимость в смартфонах Google и Samsung, которая позволяет тайно записывать видео и аудио, фотографировать и загружать все файлы на сторонний сервер без разрешения пользователя.

Для этого приложению достаточно получить разрешение на доступ к хранилищу устройства.

Чтобы доказать наличие ошибки, исследователи безопасности разработали простое приложение для показа погоды. В фоновом режиме оно могло снимать фотографии и видео, даже при выключенном экране.

Демонстрация работы эксплойта.

Ещё злоумышленники могут записывать звонки и использовать датчик приближения.

Последнее очень важно, поскольку при использовании уязвимости на экране смартфона может показываться иконка камеры, поэтому пользователи без труда могут понять, что за ними кто-то следит.

Но датчик приближения позволяет обойти это ограничение. С его помощью хакеры могут активировать запись видео, когда дисплей не используется.

Ошибку нашли в смартфонах Google и Samsung. Обе компании уже устранили её в последних прошивках.

Google отметила, что телефоны других производителей могут быть под угрозой. О каких именно компаниях идёт речь, неизвестно.

Также непонятно, почему приложения смогли получить доступ к камере без разрешения пользователя. Checkmarx предполагает, что это может быть связано с недавним обновлением Google Assistant, в котором появилась поддержка камеры. [Macrumors]

• До ←

  Volkswagen и Audi показали новые электрокары. За ними будущее

• После →

  Apple запускает Apple Music for Business для магазинов