Про це у своєму блозі написав голова відділу безпеки компанії Checkmarx Ерез Ялон.

У сучасному світі смартфони стали продовженням нас. Особливу роль в цьому відіграють розширені можливості камери і відео, адже це дозволяє користувачам швидко взяти до рук свої телефони і робити знімки в будь-який момент в режимі реального часу. Однак пристрої можуть стати “золотими копальнями” для зловмисників.

Щоб краще зрозуміти, які ризики можуть приховувати камери смартфонів, команда дослідників безпеки Checkmarx зламала самі додатки, які керують цими камерами, для виявлення можливих сценаріїв зловживань.

“Маючи під рукою Google Pixel 2 XL і Pixel 3, наша команда почала досліджувати додаток Google Camera, в кінцевому підсумку виявивши безліч вразливостей, пов’язаних з проблемами обходу дозволів. Після більш глибокого вивчення ми також виявили, що ці ж уразливості впливають на додатки камер інших виробників смартфонів в екосистемі Android, зокрема, Samsung, що є значною загрозою для сотень мільйонів користувачів смартфонів”, – розповіли у компанії.

Уразливості камери Google і Samsung

Після детального аналізу додатка Google Camera команда виявила, що, маніпулюючи конкретними діями, зловмисник може управляти додатком, щоб робити фотографії або записувати відео. Також виявлено, що зловмисники можуть отримувати доступ до збережених відео і фотографій, а також до метаданих GPS, вбудованих у фотографії.

Крім того, дослідники створили додаток для відстеження погоди, яке просило тільки один дозвіл – на доступ до пам’яті. Вони з’ясували, що закриття програми не обриває з’єднання з сервером, надаючи зловмисникам список всіх підключених пристроїв.

  • Раніше експерти Check Point виявили уразливість в процесорах Qualcomm Secure Execution Environment, що дозволяє викрадати захищені дані з Android-пристроїв.