21.11.2019, 17:25

0

0

В компании Checkmarx нашли способ заставить камеру смартфона принудительно делать снимки

Специалисты по кибербезопасности из компании Checkmarx опубликовали отчет о найденной ими уязвимости в операционной системе Android, сообщается в блоге компании.

Для этого необходима определенная последовательность действий и внутренних системных вызовов. Все, что после этого остается злоумышленнику — скачать полученные в результате ролики и фотографии. Это позволяет приложению не имеющему доступ к камере производить полноценный захват видео, звука, изображений окружающего смартфон пространства и отслеживать местоположение.

Чтобы проверить свою теорию, в Checkmarx создали приложение «погода» и продемонстрировали его работу. Программа выполняет все свои основные функции.

Но сразу после первого запуска она устанавливает фоновое защищенное соединение с удаленным сервером злоумышленника и начинает ждать команды. Оно продолжает работать и после закрытия приложения. Есть два режима работы — обычный, когда камера смартфона открывается на экране и скрытный, в котором камера будет включаться только если смартфон лежит «лицом вниз».

В результате эксперимента со смартфона Google Pixel 2XL под управлением последней версии Android 9 были получены геоданные из всех снимков, а также фото и видео в режиме реального времени.

Также специалисты по кибербезопасности продемонстрировали вполне реальный вариант шпионажа, когда человек разговаривает по телефону рядом с проектором, на который выводятся конфиденциальные данные. В момент разговора смартфон записывает видео, а после этого готовый файл злоумышленник благополучно сохраняет себе.

Информация об уязвимости предоставили компании Google четвертого июля. Спустя несколько дней, она получила высокий приоритет, а в августе ее зарегистрировали под кодом CVE-2019−2234. До конца месяца Checkmarx связались с ведущими производителями смартфонов, из которых, Samsung подтвердил, что его устройства подвержены данной уязвимости.

  • Ранее в Android-смартфонах нашли уязвимость в момент обновления.

0

Напишите нам

Источник: Лига