Google z poważną luką w aplikacji aparatu. Przestępcy mogli nagrywać nieświadomych użytkowników
O tym, że w systemie Android odnaleziono jakąś lukę słyszy się średnio dwa-trzy razy w tygodniu i nikogo to już raczej nie dziwi. Rzadko kiedy jednak mowa o czymś tak dotkliwym jak możliwość przejęcia przez przestępcę całkowitej kontroli nad aparatem.
Sprawa dotyczy telefonów tworzonych bezpośrednio przez Google'a, z serii Pixel, jak również urządzeń marki Samsung. Odkrytą podatność oznaczono ciągiem CVE-2019-2234.
Badacze z firmy Checkmarx, który wykryli zagrożenie, nie chcą ujawniać dokładnych szczegółów ataku. Tłumaczą tylko dość ogólnikowo, że "manipulując konkretnymi funkcjami i uprawnieniami, napastnik może przejąć kontrolę nad aplikacją aparatu, aby wykonać zdjęcie lub nagrać film". Jak czytamy w raporcie, nie jest w tym celu wymagana żadna zgoda ze strony użytkownika urządzenia. Szkodliwy kod potrafi samodzielnie przełamać system uprawnień.
Ponadto, ta sama luka pozwala ponoć na uzyskanie dostępu do wcześniej wykonanych zdjęć i wideo, bazując wyłącznie na uprawnieniu do zapisu danych w pamięci smartfonu, które takiej możliwości teoretycznie nie gwarantuje. W rezultacie potencjalny napastnik zyskuje bardzo niebezpieczne narzędzie. Może nie tylko sfotografować lub nagrać ofiarę, ale także ustalić chociażby jej położenie, analizując zapisywane w plikach obrazu metadane GPS.
Prognoza pogody z niespodzianką
Aby unaocznić problem, sfabrykowano pewną aplikację pogodową, dodając do niej szkodliwy kod i wiążąc z serwerem wydawania rozkazów (C&C). Według przedstawionej relacji, specjalistom udało się w ten sposób:
- Zrobić zdjęcie i nagrać film, po czym przesłać na własny serwer.
- Pobrać tagi GPS ze zdjęć znajdujących się w pamięci, pochodzących z ostatnich dni, by w ten sposób zlokalizować telefon.
- Wyciszyć smartfon przed zrobieniem zdjęcia, aby ofiara nie usłyszała dźwięku migawki.
- Zsynchronizować nagrywanie z połączeniem głosowym i zarejestrować wideo z głosem podczas rozmowy.
Według badaczy, Google i Samsung zostały poinformowane o odkryciu na przełomie lipca i sierpnia 2019, a na dzień 19 listopada były już dostępne aktualizacje eliminujące błąd.
Niniejszy nowinka pełni więc przede wszystkim rolę informacyjną, choć posiadając sprzęt Google'a lub Samsunga, należy bezwzględnie pamiętać o przeprowadzeniu aktualizacji aplikacji aparatu.
