Керівник відділу досліджень безпеки компанії Checkmarx Ерез Ялон (Erez Yalon) виявив в мобільних пристроях Google і Samsung низку уразливостей, об’єднаних під одним ідентифікатором CVE-2019-2234.

Під час дослідження безпеки камер в пристроях Google Pixel 2 XL і Pixel 3 команда фахівців Checkmarx виявила уразливості в додатку “Камера” від Google, що дозволяє їм керувати деякими функціями, не отримавши відповідного дозволу.

В цілому, CVE-2019-2234 дозволяє будь-якому додатку без відповідного дозволу керувати додатком “Камера”, в тому числі знімати фото і відео, навіть якщо пристрій заблоковано, екран вимкнений, а користувач розмовляє по телефону. За словами фахівців, крім Google, проблема зачіпає і інших виробників Android-пристроїв, в тому числі Samsung.

Google обмежує доступ додатків до чутливих функцій, таких як камера, мікрофон і геолокаційні сервіси. Для отримання доступу до них потрібно спочатку отримати відповідний дозвіл. Проте, виявлена ​​дослідниками уразливість дозволяє обійти ці обмеження.

Додаток “Камера” в ОС Android зазвичай зберігає фотографії на SD-картах, і отримати доступ до них інші додатки запитують доступ.

“На жаль, цей дозвіл має широкий спектр дії і надає доступ до SD-карти в цілому. Існує ціла низка легітимних додатків, які вимагають доступ до сховища, хоча для роботи їм не потрібні зображення і відео. За фактом, це один із найбільш запитуваних дозволів”, – повідомили дослідники.

Саме цей дозвіл фахівці вирішили використовувати в якості вектора атаки. Як виявилося, якщо шкідливому додатком надати доступ до SD-карти, то він не тільки отримає доступ до фотографій і відео, але завдяки уразливості також змусить фото-додаток знімати нові фотографії і відео.

“Ми могли легко записувати голос як користувача під час розмови, так і голос абонента. Це небажана активність, оскільки додаток Google “Камера” не повинен повністю контролюватися зовнішнім додатком”, – відзначили дослідники.

Дослідники повідомили Google про проблему в липні нинішнього року. Спочатку компанія визнала уразливість середньої небезпеки, але потім визнала її високо небезпечною, зареєструвала CVE і випустила виправлення.

До речі, команда дослідників із безпеки виявила критичні уразливості в стандарті мобільного зв’язку п’ятого покоління (5G), експлуатація яких дозволила здійснити кілька атак, таких як відстеження розташування, передача помилкових аварійних оповіщень і повне відключення 5G-з’єднання телефону від мережі.

Зверніть увагу, що в Huawei вирішили прискорити темпи розробки HarmonyOS, версія для смартфонів офіційно запуститься протягом найближчих 6-9 місяців.

Також Міністерство оборони США звинуватило кіберзлочинців, які працюють на уряд Північної Кореї, в кібератаках на фінансовий сектор, в тому числі на мережу SWIFT, з метою збагачення.

Стало відомо, що дохід від кіберзлочинності оцінюється в $ 1,5 трлн, в той час як загальний обсяг ринку кібербезпеки в 2019 році склав $ 136 млрд.

Дослідники безпеки виявили уразливості в декількох популярних Android-телефонах. За словами експертів, проблема зачіпає як мінімум 10 популярних Android-пристроїв, в тому числі Google Pixel 2, Huawei Nexus 6P і Samsung Galaxy S8 Plus.

Ця стаття В Android-смартфонах знайшли баг, який керує камерою без дозволу раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Хочете імпортувати фотографії та відео з SD або microSD-карти безпосередньо на Ваш iPhone або iPad? Дізнайтесь, як це зробити з інструкції нижче.

На відміну від смартфонів Android, які часто мають слот для карт microSD та підтримують зчитування карт, а також загальне розширення пам’яті смартфона за рахунок карти пам’яті, для iPhone та iPad Apple потрібен адаптер для імпорту фотографій та відео з карт пам’яті. Формально це може здатися складнішим процесом. Однак Apple має змогу запропонувати вищий рівень безпеки, контролюючи роботу карти пам’яті із пристроями iOS.

Майте на увазі, що використання карт SD та microSD на iPhone та iPad обмежується імпортом фотографій та відео в додаток “Фото”. Якщо Ви хочете зберегти, тримати на накопичувачі та переміщувати файли всіх типів, Вам потрібно взяти флеш-накопичувач, що підтримує інтерфейс Lightning, наприклад, iXpand від SanDisk та йому подібні.

Як читати карти пам’яті SD та microSD на iPhone?

1. По-перше, візьміть адаптер SD/microSD (кардрідер). Офіційний Apple Card Camera Reader Lightning to SD можна купити за $ 29. Якщо у Вас є iPad Pro з USB-C,  такий же офіційний адаптер Apple Card Camera Reader USB-C to SD продається за 39 доларів. Вони просто працюють із SD-картами звичайного розміру, тому Вам знадобиться перехідник microSD до SD, якщо у Вас його ще немає.

   

   Але є альтернативні рішення. Наприклад, найпопулярніший кардрідер  Lightning to SD/microSD від FA STAR на Amazon коштує 13 доларів. У ньому також є слоти як для карт SD, так і для microSD, тому вам не потрібно турбуватися про перехідник з SD до microSD, як, наприклад, з офіційними картрідерами від Apple. Також чудовою альтернативою кардрідеру для USB-C від Apple за 40 доларів є такий же кардрідер  для USB-C від Uni за 15 доларів. Він також має окремі слоти для карт SD та microSD.

2. По-друге, підключіть кардрідер до Вашого iPhone або iPad та вставте SD або microSD- картку, з якої потрібно імпортувати фотографії та відео. Далі додаток “Фото” автоматично запуститься та надасть Вам можливість імпортувати медіа. Якщо він автоматично не запускається, зробіть це вручну – відкрийте додаток “Фото” та торкніться вкладки “Імпорт” внизу.

Нагадаємо, що після звістки про метод віддаленого зламу “розумного” брелока від електрокара Tesla Model S, виробник компанія Pektron випустила нову версію ключа з більш надійним шифруванням. Однак дослідники знову знайшли спосіб зламати його, клонувати брелок і викрасти автомобіль.

Також Google збільшила кількість часу, який необхідний новій програмі Android, щоб пройти процедуру затвердження Play Store.

Стало відомо, що Google впроваджує нову ініціативу Privacy Sandbox, у рамках якої розробляється новий набір відкритих стандартів. За їх допомогою Google прагне створити баланс між конфіденційністю користувачів і бажанням рекламних компаній відстежувати їх.

Окрім цього, Linux Foundation, Microsoft, Google, Alibaba, Arm, Baidu, IBM, Intel, Red Hat, Swisscom і Tencent підписали угоду про створення консорціуму щодо захисту конфіденційності даних.

Apple випустила оновлення мобільної операційної системи iOS, яка усуває уразливість, що дозволяла встановити джейлбрейк на iPhone з новою версією ОС.

Зверніть увагу, в програмному забезпеченні Lenovo Solution Centre (LSC), встановленому на мільйонах комп’ютерів Lenovo, виявлено можливість підвищення привілеїв, за допомогою якої зловмисник може виконати код і отримати права адміністратора або системні привілеї.

Ця стаття Як читати карти пам’яті з iPhone та iPad? раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим