Ένα exploit που ανακαλύφθηκε στο camera app του Android θα μπορούσε να χρησιμοποιηθεί για κατασκοπεία και για την παρακολούθηση χρηστών.

Μία ομάδα ερευνητών ασφαλείας ανακάλυψε ένα τρόπο για να αποκτήσει πρόσβαση στον αποθηκευτικό χώρο των συσκευών παρακάμπτοντας τις άδειες του Android και αν και σήμερα τα περισσότερα κινητά διαθέτουν εγκατεστημένη την σχετική διόρθωση (patch) εντούτοις είναι και αρκετοί εκείνοι που προχωρούν στο side-loading των apps ή custom ROMs χωρίς updates.

 

Η Google απαιτεί από τις εφαρμογές τρίτων να ζητούν άδεια για να αποκτήσουν πρόσβαση σε φωτογραφίες και βίντεο που βρίσκονται αποθηκευμένα στη συσκευή καθώς και άδεια για να αποκτήσουν πρόσβαση στη λειτουργία του camera app όμως οι ερευνητές κατάφεραν να λάβουν την σχετική άδεια για ένα app χωρίς την συγκατάθεση του χρήστη. Με αυτό τον τρόπο ήταν σε θέση να τραβήξουν φωτογραφίες και να καταγράψουν βίντεο χωρίς την συγκατάθεση του κατόχου της συσκευής.

Επιπλέον, συγκεκριμένα σενάρια επιτρέπουν στον επιτιθέμενο να αποκτήσει τον έλεγχο του αποθηκευτικού χώρου της συσκευής καθώς και να αποκτήσει πρόσβαση σε μεταδεδομένα GPS που αποθηκεύονται στο EXIF των φωτογραφιών και βίντεο. Στο παρακάτω βίντεο, μπορείτε να δείτε πως η ομάδα των ερευνητών κατάφερε να αποκτήσει τον έλεγχο ενός Pixel 2 XL.

H «κερκόπορτα» δεν βρίσκεται πάντως μόνο στις συσκευές Pixel, αλλά και σε συσκευές άλλων κατασκευαστών όπως της Samsung για παράδειγμα. Οι ερευνητές επικοινώνησαν τον περασμένο Ιούλιο με τις Samsung και Google, και οι δύο εταιρείες ανταποκρινόμενες άμεσα «έκλεισαν» το κενό ασφαλείας μέσω patches για τα camera apps των κινητών τους. H Google επίσης επικοινώνησε με όλους τους OEMs για την ύπαρξη του exploit και προχώρησε στη διανομή ενός patch οπότε όσοι χρησιμοποιούν επίσημο λογισμικό και απολαμβάνουν ακόμη σχετική υποστήριξη από τον κατασκευαστή της συσκευής τους μπορούν να αισθάνονται ασφαλείς.

GSMArena

Checkmarx