Výskumný tím spoločnosti Checkmarx odhalil viacero zraniteľností v zariadeniach s Androidom, ktoré mu umožňovali obísť povolenia aplikácií a manipulovať tak s kamerou telefónu. Svoj výskum demonštrovali na zariadeniach Google Pixel 2 XL a Pixel 3. Rovnaký problém sa však týkal aj telefónov od Samsungu.

Fotografie a videá bolo možné zaznamenávať aj počas hovoru. Ich útok spočíval vo vytvorení falošnej aplikácie, ktorá si pri inštalácií vyžiadala povolenie prístupu k úložisku na SD karte. Aplikácia následne dokázala z fotoaparátu odchytiť všetky zaznamenané videá a fotografie, vrátane GPS lokality z ich metadát. Výskumníci však našli spôsob, ako ďalej pomocou nej prinútiť oficiálnu aplikáciu Google Camera k vytváraniu vlastných video a audio záznamov.

Potencionálnu obeť mohli špehovať aj počas prebiehajúceho hovoru či v čase, kedy bol telefón uzamknutý. Google spomínané chyby opravil aktualizáciou v júli. Patch poskytol aj všetkým svojim partnerom na implementáciu do mobilných zariadení. Ian Thornton-Trump, bezpečnostný expert z CompTIA, pre magazín Forbes priznal, že podobné scenáre by skôr čakal od sofistikovanejších útočníkov.

„Spadla mi sánka, keď som si prečítal správu o tom, aká zraniteľná bola táto aplikácia. Neznelo to ako zraniteľnosť, ale skôr ako APT aktér s plne vybaveným spyvérom.“ Zároveň vyzval, že je potrebné aktualizáciu nainštalovať čím skôr a v prípade zastaraného zariadenia, ktoré to nepovoľuje, zvážiť kúpu nového.

Zdroj: Cybersec