Компания CheckMarx обнаружила на Android-смартфонах очень опасную уязвимость, которая получила технический номер CVE-2019-2234. Вредоносное приложение может незаметно от пользователя делать фотографии или снимать видео и выгружать их на удалённый сервис.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Эта уязвимость существует с 2015 года — с момента выпуска Android Marshmallow. В этой версии операционной системы у сторонних приложений появилась возможность использовать стандартное приложение камеры, если пользователь предоставит такое разрешение. Баг в Android делает возможной скрытую съёмку, то есть пользователь даже не заметит, что приложение делает фотографии и записывает видео.

Перед этой уязвимостью бессильны предустановленные приложения камеры, в том числе Samsung Camera на смартфонах Samsung, а также Google Camera, которую можно скачать из Play Маркета.

Для осуществления атаки необходимо предоставить приложению несколько системных разрешений, например, доступ к камере, микрофону и памяти, но их запрашивают многие программы, поэтому потенциальную жертву подглядывания это вряд ли насторожит. Уязвимое приложение камеры фотографирует или снимает видео, а вредоносное приложение может считать данные EXIF и GPS, отправить их злоумышленникам, а также переслать фотографию или видеозапись на удалённый сервер. Таким образом хакер может подглядывать за своей жертвой и узнавать, где она находится.

Эта уязвимость также позволяет тайно прослушивать чужие телефонные разговоры и в любой момент включать микрофон устройства для скрытой прослушки происходящего рядом со смартфоном.

Специалисты CheckMarx доказали, что уязвимость не просто существует в теории, а её можно эксплуатировать. Они установили на смартфон вредоносное приложение и предоставили ему все затребованные разрешения, в том числе доступ к камере и накопителю. Когда экран смартфона был выключен, приложение без использования звука затвора и вспышки сделало фотографию, добыло из неё данные EXIF и GPS, а затем отправила эту информацию на внешний сервер. После этого оно выгрузила сделанный снимок, а также другие фотографии и видео, хранящиеся в памяти устройства. Для того, чтобы жертва не заметила активность приложения, используется датчик приближения и акселерометр — они позволяют приложению понять, что смартфон лежит экраном вниз.

Процесс осуществления атаки показан на видео:



Уязвимость была обнаружена специалистами CheckMarx летом 2019 года в процессе изучения приложения Google Camera на смартфонах Google Pixel 2 XL и Pixel 3. Выяснилось, что баг настолько фундаментальный, что затрагивает приложения камеры на устройствах почти всех производителей.

Google и Samsung уже устранили эту уязвимость в своих приложениях камер. Обновлённая Google Camera была выпущена в июле и стала доступна смартфонам Pixel. Инженеры Samsung защитили приложение Samsung Camera в августе. По словам Google, в ближайшее время другие производители Android-смартфонов в скором времени тоже выпустят исправленные приложения, которые будет невозможно атаковать через описанную уязвимость.