Об этом в своем блоге написал глава отдела безопасности компании Checkmarx Эрез Ялон.

В современном мире смартфоны стали продолжением нас. Особую роль в этом играют расширенные возможности камеры и видео, ведь это позволяет пользователям быстро доставвать свои телефоны и делать снимки в любой момент в режиме реального времени. Однако устройства могут стать золотыми рудниками для злоумышленников.

Чтобы лучше понять, какие риски могут скрывать камеры смартфонов, команда исследователей безопасности Checkmarx взломала сами приложения, которые управляют этими камерами, для выявления возможных сценариев злоупотреблений.

“Имея под рукой Google Pixel 2 XL и Pixel 3, наша команда начала исследовать приложение Google Camera, в конечном итоге обнаружив множество уязвимостей, связанных с проблемами обхода разрешений. После более глубокого изучения мы также обнаружили, что эти же уязвимости влияют на приложения камер других производителей смартфонов в экосистеме Android, в частности, Samsung, что представляет значительные угрозы для сотен миллионов пользователей смартфонов”, – рассказали в компании.

Уязвимости камеры Google и Samsung

После детального анализа приложения Google Camera команда обнаружила, что, манипулируя конкретными действиями, злоумышленник может управлять приложением, чтобы делать фотографии или записывать видео. Также обнаружено, что злоумышленники могут получать доступ к сохраненным видео и фотографиям, а также к метаданным GPS, встроенным в фотографии.

Кроме того, исследователи создали приложение для отслеживания погоды, которое запрашивало только одно разрешение — на доступ к памяти. Они выяснили, что закрытие приложения не обрывает соединение с сервером, предоставляя злоумышленникам список всех подключённых устройств.

  • Ранее эксперты Check Point обнаружили уязвимость в процессорах Qualcomm Secure Execution Environment, позволяющую похищать защищенные данные с Android-устройств.