Hónapokig titkolták a százezreket érintő androidos hibát a kémkedő kameráról

A hiba lehetővé tette a hackereknek, hogy okostelefon-kamerájukon keresztül kémkedjenek az emberek után. A problémát a felhasználók érdekében hónapokig titkolták.

A Checkmarx Security Research kutatói fedezték fel az Android rendszerében a CVE-2019-2234-nek nevezett hibát, amely lehetővé teszi a hackereknek, hogy átvegyék az irányítást okostelefonok kamerája felett, és fényképeket készítsenek, valamint videókat rögzítsenek az eszközökkel – írja a hirado.hu a Mirror információira hivatkozva.
 

Először a Google és Samsung készülékeken észlelték a hibát

Az eredményekről beszámoló blogon az egyik kutató, Erez Yalon azt írta: Miután a Google Pixel 2 XL és a Pixel 3 nálunk volt, csapatunk megkezdte a Google Camera-alkalmazás átvizsgálását, melyben több, az engedélyek megkerülésével kapcsolatos problémákból fakadó sebezhető pontot talált.
 

„A további kutakodás után azt is megállapítottuk, hogy ugyanezek a sebezhető pontok az Android ökoszisztéma más okostelefon-gyártóinak – név szerint a Samsung – kameraalkalmazásainál is felfedezhetők, ezért a hiba az okostelefon-használók százezreit érinti” – tette hozzá.

A kutatók szerint a legaggasztóbb, hogy a hiba lehetővé teheti a hackerek számára, hogy átvegyék az irányítást a Google vagy Samsung telefonok kameraalkalmazása felett, így fényképeket készíthetnek vagy videókat rögzíthetnek a felhasználókról, anélkül, hogy ők engedélyt adtak volna rá.
 

A hackerek a fényképeket és a videókat is elérhetik

A csapat azt is megállapította, hogy bizonyos helyzetekben a hackereknek a videók, a fényképek és a hozzájuk kapcsolódó GPS-metaadatok is elérhetővé válhatnak. Yalon hozzátette: a kutatóik bebizonyították, hogy egy rosszindulatú alkalmazás engedélykérés nélkül kényszerítheti a kameraalkalmazást, hogy fényképeket és videófelvételeket készítsen, még akkor is, ha a telefon zárolva van, vagy a képernyő ki van kapcsolva. Ugyanezt sikerült elérniük a káros applikációval akkor is, amikor a felhasználó éppen telefonált.
 

Hónapokig tartották titokban

A problémát a Checkmarx csapata már hónapokkal korábban észlelte, a felhasználók védelmében azonban a hiba megoldásáig nem publikálta észrevételét. Felfedezésüket követően a kutatók jelentették a hibát a Google-nak, amely rájött, hogy a probléma az összes androidos okostelefont érinti, nem csak a Pixelt. A Google közleménye szerint a problémára az Android partnereikkel együttműködve találták meg a megoldást, melyet egy frissítés formájában, 2019 júliusában juttattak el a felhasználókhoz a Google Play Áruházon keresztül.