Uśmiechaj się, możesz żyć z ukrytą kamerą. Android z poważną luką bezpieczeństwa
Złośliwe aplikacje mogły ignorować pozwolenia na dostęp do aparatu i w najlepsze szpiegować za jego pomocą użytkowników Androida.
O zagrożeniu poinformowali w poście na blogu specjaliści z Checkmarx. Badacze przeprowadzili testy, podczas których odkryli poważną lukę bezpieczeństwa. Ich aplikacja pogodowa, która teoretycznie dostała dostęp tylko do pamięci telefonu, mogła robić zdjęcia, sprawdzać, gdzie jest posiadacz telefonu i nagrywać jego rozmowy.
Uśmiechaj się, możesz żyć z ukrytą kamerą.
Złośliwe aplikacje nie potrzebowały zezwolenia użytkownika na dostanie się do jego aparatu, wyciszenie odgłosu migawki i zrobienie tylu zdjęć, ile tylko ich cyfrowa dusza zapragnie. Jak gdyby to było za mało, mogły także nagrywać dźwięki (w tym rozmowy nieszczęśnika, który je pobrał), a potem wszystkie swoje zdobycze (i wszystkie uprzednio zapisane na telefonie filmy oraz zdjęcia) wysyłać na swój serwer. Marnym pocieszeniem jest to, że do tego ostatniego aplikacja potrzebowała pozwolenia na dostęp do pamięci telefonu. To najczęściej wymagane pozwolenie, które większość użytkowników przyznaje niemal automatycznie.
Żeby zademonstrować możliwości luki, badacze stworzyli aplikację pogodową, która została wzbogacona o kilka dodatkowych sztuczek. Poza pokazywaniem temperatury za oknem potrafiła także nagrać film, nawet jeśli ekran telefonu był wyłączony, a sama aplikacja zamknięta. Mogła prześledzić wcześniejsze ruchy użytkownika na podstawie metadanych z filmów i zdjęć zachowanych w pamięci telefonu, przesłać je na swój serwer, a potem dosłać także wszystkie inne JPG-i i pliki MP4 znajdujące się na karcie SD telefonu.
Żeby uniknąć wykrycia, aplikacja mogła robić zdjęcia tylko wtedy, gdy telefon leżał ekranem do dołu lub był przyciśnięty bezpiecznie do ucha posiadacza szepczącego mu swoje najmroczniejsze sekrety.
Pixele Google'a są już bezpieczne. Firma wysyłała ich użytkownikom naprawiającą błąd aktualizację aplikacji aparat już w lipcu. Samsungowi także udało się załatać dziurę i wysłać odpowiednią łatkę swoim użytkownikom. Jeśli chodzi o producentów innych telefonów, to sprawa jest bardziej tajemnicza. Checkmarx mówi tylko o Pixelach i urządzeniach Samsunga, lecz zdradza jednocześnie, że Google sugerował, że inni producenci mogą mieć podobny problem. Na razie użytkownicy innych telefonów z Androidem mogą mieć tylko nadzieję, że albo problem ich nie dotyczy, albo ich producent już go załatał.