Google исправила очередную проблему в операционной системе Android, которая позволяла злоумышленникам получать доступ к камере смартфона и тайно снимать фото и видео, даже когда устройство заблокировано или экран выключен.
Уязвимость, получившая идентификатор CVE-2019-2234, была обнаружена исследователями безопасности компании Checkmarx. Она возникла из-за проблем с разрешениями в приложении Google Camera и затронула смартфоны Pixel. Однако в дальнейшем распространилась на устройства Samsung и других производителей.
«Злоумышленник может управлять приложением, чтобы делать фотографии и записывать видео через фейковое приложение, у которого нет прав для этого, – пишут исследователи. – Кроме того, мы обнаружили, что некоторые сценарии атак позволяют злоумышленникам обходить различные политики разрешений, предоставляя им доступ к сохранённым файлам и GPS-меткам фотографий».
Специалисты Checkmarx продемонстрировали возможность осуществления атаки на примере фейкового приложения погоды. Вскоре после этого Google устранила уязвимость, однако точное количество затронутых устройств осталось неизвестным.
«Мы благодарны Checkmarx за то, что обратили наше внимание на проблему. Сейчас мы сотрудничаем с нашими партнёрами для координации дальнейших действий, – говорится в сообщении компании. – Проблема была решена на устройствах Google посредством обновления приложения Google Camera в июле 2019 года. Исправление также доступно всем нашим партнёрам».
Источник: TNW