20 ноя в 14:07 Malum Трэкер :

Любой смартфон — инструмент для слежки



Компания CheckMarx обнаружила на Android-смартфонах очень опасную уязвимость, которая получила технический номер CVE-2019-2234. Вредоносное приложение может незаметно от пользователя делать фотографии или снимать видео и выгружать их на удалённый сервис.

Эта уязвимость существует с 2015 года — с момента выпуска Android Marshmallow. В этой версии операционной системы у сторонних приложений появилась возможность использовать стандартное приложение камеры, если пользователь предоставит такое разрешение. Баг в Android делает возможной скрытую съёмку, то есть пользователь даже не заметит, что приложение делает фотографии и записывает видео.

Перед этой уязвимостью бессильны предустановленные приложения камеры, в том числе Samsung Camera на смартфонах Samsung, а также Google Camera, которую можно скачать из Play Маркета.

Для осуществления атаки необходимо предоставить приложению несколько системных разрешений, например, доступ к камере, микрофону и памяти, но их запрашивают многие программы, поэтому потенциальную жертву подглядывания это вряд ли насторожит. Уязвимое приложение камеры фотографирует или снимает видео, а вредоносное приложение может считать данные EXIF и GPS, отправить их злоумышленникам, а также переслать фотографию или видеозапись на удалённый сервер. Таким образом хакер может подглядывать за своей жертвой и узнавать, где она находится.

Эта уязвимость также позволяет тайно прослушивать чужие телефонные разговоры и в любой момент включать микрофон устройства для скрытой прослушки происходящего рядом со смартфоном.

Специалисты CheckMarx доказали, что уязвимость не просто существует в теории, а её можно эксплуатировать. Они установили на смартфон вредоносное приложение и предоставили ему все затребованные разрешения, в том числе доступ к камере и накопителю. Когда экран смартфона был выключен, приложение без использования звука затвора и вспышки сделало фотографию, добыло из неё данные EXIF и GPS, а затем отправила эту информацию на внешний сервер. После этого оно выгрузила сделанный снимок, а также другие фотографии и видео, хранящиеся в памяти устройства. Для того, чтобы жертва не заметила активность приложения, используется датчик приближения и акселерометр — они позволяют приложению понять, что смартфон лежит экраном вниз.

Процесс осуществления атаки показан на видео:


Уязвимость была обнаружена специалистами CheckMarx летом 2019 года в процессе изучения приложения Google Camera на смартфонах Google Pixel 2 XL и Pixel 3. Выяснилось, что баг настолько фундаментальный, что затрагивает приложения камеры на устройствах почти всех производителей.

Google и Samsung уже устранили эту уязвимость в своих приложениях камер. Обновлённая Google Camera была выпущена в июле и стала доступна смартфонам Pixel. Инженеры Samsung защитили приложение Samsung Camera в августе. По словам Google, в ближайшее время другие производители Android-смартфонов в скором времени тоже выпустят исправленные приложения, которые будет невозможно атаковать через описанную уязвимость.
Сообщество: Malum Трэкер
108 0 4 0

Комментарии (6)

Когда окончательно умрет RS-232?
Есть ли микросхема у TI с автоматическим включением передатчика на время передачи пакетов в сеть RS-485?
Какова максимально достижимая скорость полудуплексного устройства на расстоянии 1 километр?
Есть ли у TI микросхема с автоопределением передачи, наподобие MAX13487?
Сколько приёмников RS-232 можно подключать к одному передатчику?
Сие дело (знания) обходиться не дёшево, но оно того стоит (с прикреплёнными навыками).
Показать комментарий
Скрыть комментарий
Для добавления комментариев необходимо авторизоваться
Битва титанов
Впервые на мобильниках! Игра, о которой ходят леге...
Версия: Mobile | Lite | Touch | Доступно в Google Play