Керівник відділу досліджень безпеки компанії Checkmarx Ерез Ялон (Erez Yalon) виявив в мобільних пристроях Google і Samsung низку уразливостей, об’єднаних під одним ідентифікатором CVE-2019-2234.
Під час дослідження безпеки камер в пристроях Google Pixel 2 XL і Pixel 3 команда фахівців Checkmarx виявила уразливості в додатку “Камера” від Google, що дозволяє їм керувати деякими функціями, не отримавши відповідного дозволу.
В цілому, CVE-2019-2234 дозволяє будь-якому додатку без відповідного дозволу керувати додатком “Камера”, в тому числі знімати фото і відео, навіть якщо пристрій заблоковано, екран вимкнений, а користувач розмовляє по телефону. За словами фахівців, крім Google, проблема зачіпає і інших виробників Android-пристроїв, в тому числі Samsung.
Google обмежує доступ додатків до чутливих функцій, таких як камера, мікрофон і геолокаційні сервіси. Для отримання доступу до них потрібно спочатку отримати відповідний дозвіл. Проте, виявлена дослідниками уразливість дозволяє обійти ці обмеження.
Додаток “Камера” в ОС Android зазвичай зберігає фотографії на SD-картах, і отримати доступ до них інші додатки запитують доступ.
“На жаль, цей дозвіл має широкий спектр дії і надає доступ до SD-карти в цілому. Існує ціла низка легітимних додатків, які вимагають доступ до сховища, хоча для роботи їм не потрібні зображення і відео. За фактом, це один із найбільш запитуваних дозволів”, – повідомили дослідники.
Саме цей дозвіл фахівці вирішили використовувати в якості вектора атаки. Як виявилося, якщо шкідливому додатком надати доступ до SD-карти, то він не тільки отримає доступ до фотографій і відео, але завдяки уразливості також змусить фото-додаток знімати нові фотографії і відео.
“Ми могли легко записувати голос як користувача під час розмови, так і голос абонента. Це небажана активність, оскільки додаток Google “Камера” не повинен повністю контролюватися зовнішнім додатком”, – відзначили дослідники.
Дослідники повідомили Google про проблему в липні нинішнього року. Спочатку компанія визнала уразливість середньої небезпеки, але потім визнала її високо небезпечною, зареєструвала CVE і випустила виправлення.
До речі, команда дослідників із безпеки виявила критичні уразливості в стандарті мобільного зв’язку п’ятого покоління (5G), експлуатація яких дозволила здійснити кілька атак, таких як відстеження розташування, передача помилкових аварійних оповіщень і повне відключення 5G-з’єднання телефону від мережі.
Зверніть увагу, що в Huawei вирішили прискорити темпи розробки HarmonyOS, версія для смартфонів офіційно запуститься протягом найближчих 6-9 місяців.
Також Міністерство оборони США звинуватило кіберзлочинців, які працюють на уряд Північної Кореї, в кібератаках на фінансовий сектор, в тому числі на мережу SWIFT, з метою збагачення.
Стало відомо, що дохід від кіберзлочинності оцінюється в $ 1,5 трлн, в той час як загальний обсяг ринку кібербезпеки в 2019 році склав $ 136 млрд.
Дослідники безпеки виявили уразливості в декількох популярних Android-телефонах. За словами експертів, проблема зачіпає як мінімум 10 популярних Android-пристроїв, в тому числі Google Pixel 2, Huawei Nexus 6P і Samsung Galaxy S8 Plus.
