Головна » Технології / Новини ІТ » Додаток камери на Android шпигував за користувачами

Операційна система Android завжди мала перевагу над іншими системами завдяки відкритому вихідному коду. Однак, інколи такі переваги стають недоліками, оскільки часто призводять до дірок в безпеці. Дослідницька компанія з питань безпеки, Checkmarx, зробила тривожне відкриття, яке стосується кількох протестованих смартфонів компанії Google та Samsung. І суть цієї діри полягає у тому, що хакери можуть взяти під контроль програми камери, здійснювати фотографії, записувати відео, записувати усі ваші розмови, визначати ваше місце розташування та багато іншого.




Дослідники натрапили на уразливість програми Google Camera для смартфонів Pixel 2 XL та Pixel 3. Окрім цього, уразливість була помічена в програмі Samsung Camera. При чому, що ніяких спеціальних дозволів на Android не було додано окрім одного. Від користувача потрібен був лише дозвіл на доступ до пам’яті пристрою.

Додаток камери на Android шпигував за користувачами

Google Pixel 2 XL

Як доказ концепції, Checkmarx продемонструвала уразливість, створивши штучний додаток погоди для Android, який вимагав доступ лише до пам’яті пристрою. Як і в інших зловмисних додатках, в цьому використовується двостороння стратегія. Додаток сам по собі нешкідливий і не запускає Google Play Protect. Після того як ви встановите його, програма запускає зв’язок з віддаленим сервером і чекає подальших інструкцій. Закриття програми не блокує з’єднання з сервером. Після цього, зловмисник може зробити з вашим смартфоном наступне:

  1. Знімати фотографії та відео за допомогою програми камери смартфона та завантажувати усі дані на віддалений сервер. Все це можливо без попередження користувача, оскільки звук затвора камери вимкнено.
  2. Визначати, коли користувач здійснює дзвінок, використовуючи сенсор наближення пристрою і записувати аудіо обох співрозмовників.
  3. Записувати відео користувача одночасно із захопленням звуку під час телефонного дзвінка.
  4. Отримувати необмежений доступ до всіх фотографій та відео на пристрої.
  5. Знімати GPS-теги з усіх фотографій на пристрої. Це працює лише тоді, коли користувач увімкнув це через додаток камери. Дані можуть бути використані для створення карти історії розташування користувача.
  6. Усе перелічене вище можливо виконувати навіть тоді, коли пристрій заблоковано.

Google та Samsung офіційно не підтверджували
про уразливість в Android-смартфонах до кінця серпня

У липні цього року Checkmarx виявила уразливість в смартфонах Google. Спочатку Google встановила серйозність уразливості як помірну, і вона була підвищена до високого рівня після додаткових відгуків від Checkmarx. У серпні Google визнала, що це вплинуло на широкий спектр виробників смартфонів, про які було незабаром повідомлено.

У Google заявляють, що проблема була вирішена на пристроях компанії, які зазнали впливу, через оновлення додатка Google Camera в магазині Google Play у липні 2019 року. Того ж місяця компанія також випустила виправлення для всіх постраждалих смартфонів від інших виробників. На сьогодні проблема, як видається, виправлена, але невідомо, скільки користувачів втрачає свої дані в результаті.

Якщо Ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.
Поділитися:
Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Схожі новини

Новини ІТ

На росії почали нелегально продавати техніку за допомогою паралельного імпорту

Один із торгових майданчиків на росії, ozon, розпочав продавати техніку, яку було завезено за допомогою паралельного імпорту. Паралельний імпорт – це ввезення товарів без згоди виробника чи правовласника. Підписуйтесь на наш Telegram-канал Найбільша сонячна електростанція в Україні була викрадена рашистами Microsoft: росія активізувала кібератаки під час повномасштабної війни в Україні Карта руйнувань: в Україні запустили […]


Новини ІТ

Українці отримали безкоштовний доступ до ClearVPN завдяки сервісу Дія

Майже кожен українець знає, як круто Дія спрощує життя. Зупинятися лише на цифровізації документів команда розробників не планує, тому застосунок сміливо заходить в усі інші сфери. Наприклад, українська компанія MacPaw зробила свій застосунок ClearVPN безоплатним для тих, хто перебуває на території України. Для українців, які за кордоном або на тимчасово окупованих територіях, застосунок відтепер також безоплатний […]


Повідомити про помилку

Текст, який буде надіслано нашим редакторам: