darask
Опытный user
- Регистрация
- 15 Окт 2019
- Сообщения
- 109
- Реакции
- 0
Глава отдела исследований безопасности Erez Yalon организации Checkmarx заметил в смартфонах Google и Samsung группу уязвимостей, объединённых названием CVE-2019-2234.
В процессе исследования безопасности камер в смартфонах Google Pixel 2 XL и Pixel 3 группа исследователей Checkmarx нашла уязвимости в приложении «Камера» от Google, дающие возможность управлять рядом функций, без разрешения пользователя.
Данные уязвимости позволяют любым приложениям, не имея разрешения, контролировать приложение «Камера», например снимать фото и видео, причём даже когда смартфон заблокирован, экран выключен, а пользователь говорит по телефону.
Кроме Google, такая ошибка существует и в других Android-устройствах, из популярных брендов - Samsung.
Вообще Google ограничивает доступ приложений к функциям, которые могут нарушить приватность, к примеру: камера, микрофон и местоположение. Для контроля этих функций, сперва нужно получить разрешение от пользователя. Однако найденная уязвимость даёт возможность игнорировать эти ограничения.
В системе Android приложение «Камера», как правило, хранит фото на SD-картах, потому для доступа к фото многие приложения просят доступ к SD-карте. Однако это разрешение открывает больше возможностей приложению, чем нужно и даёт доступ к SD-карте полностью. Существует большое количество различных приложений, требующих доступ к SD-карте, но медиафайлы им не нужны. По сути, это одно из наиболее часто требуемых разрешений.
Это разрешение исследователи решили выбрать как отправную точку для атаки на устройство. Выяснилось, что если вредоносному приложению разрешить доступ к SD-карте, то оно не просто завладеет доступом к медиафайлам, но из-за уязвимости сможет включить камеру, делать снимки и записывать видео.
Исследователи заметили: «Мы с лёгкостью смогли записать одновременно голос пользователя во время разговора по телефону и голос собеседника. Это опасная уязвимость, приложение Google «Камера» не должно полностью управляться сторонним приложением».
Исследователи сообщили в Google про свою находку этим летом. Вначале Google оценила уязвимость как средней опасности, но позже признала её высоко опасной, зарегистрировала идентификатор уязвимости и сделала исправление.
В процессе исследования безопасности камер в смартфонах Google Pixel 2 XL и Pixel 3 группа исследователей Checkmarx нашла уязвимости в приложении «Камера» от Google, дающие возможность управлять рядом функций, без разрешения пользователя.
Данные уязвимости позволяют любым приложениям, не имея разрешения, контролировать приложение «Камера», например снимать фото и видео, причём даже когда смартфон заблокирован, экран выключен, а пользователь говорит по телефону.
Кроме Google, такая ошибка существует и в других Android-устройствах, из популярных брендов - Samsung.
Вообще Google ограничивает доступ приложений к функциям, которые могут нарушить приватность, к примеру: камера, микрофон и местоположение. Для контроля этих функций, сперва нужно получить разрешение от пользователя. Однако найденная уязвимость даёт возможность игнорировать эти ограничения.
В системе Android приложение «Камера», как правило, хранит фото на SD-картах, потому для доступа к фото многие приложения просят доступ к SD-карте. Однако это разрешение открывает больше возможностей приложению, чем нужно и даёт доступ к SD-карте полностью. Существует большое количество различных приложений, требующих доступ к SD-карте, но медиафайлы им не нужны. По сути, это одно из наиболее часто требуемых разрешений.
Это разрешение исследователи решили выбрать как отправную точку для атаки на устройство. Выяснилось, что если вредоносному приложению разрешить доступ к SD-карте, то оно не просто завладеет доступом к медиафайлам, но из-за уязвимости сможет включить камеру, делать снимки и записывать видео.
Исследователи заметили: «Мы с лёгкостью смогли записать одновременно голос пользователя во время разговора по телефону и голос собеседника. Это опасная уязвимость, приложение Google «Камера» не должно полностью управляться сторонним приложением».
Исследователи сообщили в Google про свою находку этим летом. Вначале Google оценила уязвимость как средней опасности, но позже признала её высоко опасной, зарегистрировала идентификатор уязвимости и сделала исправление.
