Android mógł pozwalać aplikacjom na nagrywanie bez zgody
Badacze ds. cyberbezpieczeństwa wykryli groźną podatność w Androidzie. Potencjalni hakerzy mogli w dość banalny sposób uzyskać dostęp m.in. do nagrywania audio i wideo. Google twierdzi, że zneutralizował zagrożenie w smartonach z serii Pixel, podobnie jak Samsung w swoich smartfonach. Nic nie wiadomo na temat usunięcia podatności na innych urządzeniach z Androidem oraz o potencjalnych ofiarach.
Spis treści
Ktoś nas obserwuje?
Coraz częściej słyszymy relacje ludzi, którzy podejrzewają, że ich smartfony ich nagrywają i na podstawie zdobytych w ten sposób informacji dobierają dla nich reklamy. Na przykład chwilę po rozmowie o kupnie nowego biurka użytkownicy natrafiają na reklamę tego typu sprzętu. U wielu ludzi może to powodować niepokój, zastanówmy się więc, co by było, gdyby dostęp do mikrofonów lub kamer w naszych urządzeniach mogły mieć zewnętrzne aplikacje czy hakerzy?
Dziura w Androidzie
Google wielokrotnie twierdził, że system Android został zaprojektowany bardzo starannie i nie ma możliwości, by instalowane na nim aplikacje uzyskiwały dostęp do kamer i mikrofonów bez wyraźnej zgody użytkowników końcowych. Najnowsze dochodzenie pokazuje niestety, że zabezpieczenia używane przez firmę są banalne do obejścia.
Badacze bezpieczeństwa z firmy Checkmarx twierdzą, że na początku bieżącego roku odkryli poważną wadę software’u odpowiedzialnego za obsługę kamery na Androidzie. Naukowcy twierdzą, że byli w stanie utworzyć aplikację proof-of-concept wyglądającą na zwykłą aplikację pogodową, która prosiła o dostęp do pamięci urządzenia działającego na Androidzie. Według badaczy udzielenie tej zgody skutkowało umożliwieniem im robienia zdjęć, nagrywania wideo i audio, sprawdzania, czy telefon jest skierowany ekranem w dół, nagrywania rozmów, a także lokalizowania urządzenia za pomocą danych GPS przypisanych do zdjęć. Badaczom z Checkmarx udało się następnie wgrać wszystkie zdobyte dane na zdalny serwer.
Okazuje się, że potencjalny atak na urządzenie nie mógłby zostać przeprowadzony w kompletnie tajny sposób. Ekran wykorzystywanego urządzenia sygnalizowałby bowiem, że jego kamera jest włączona, co mogłoby stanowić istotną wskazówkę dla co uważniejszych użytkowników.
“Zdolność aplikacji do pobierania danych wejściowych z kamery, mikrofonu i lokalizacji GPS jest uważana przez samo Google za wysoce inwazyjną”, napisał Erez Yalon, dyrektor ds. bezpieczeństwa w Checkmarx. “W rezultacie AOSP utworzył określony zestaw uprawnień, których aplikacja musi zażądać od użytkownika”.
Brak ofiar?
Póki co nie ma dowodów, że opisana podatność znana jako CVE-2019-2234 mogła zostać wykorzystana przez hakerów, ale nie można wykluczyć takiej sytuacji. Google poinformował serwis Fast Company, że problem występujący na ich urządzeniach, czyli smartfonach z serii Pixel, został rozwiązany w lipcu. Samsung natomiast przekonuje, że “wydał łatki, które dotyczą wszystkich modeli urządzeń Samsung, których może to [czyli podatność – przyp. red.] dotyczyć”, ale nie wiadomo, kiedy miało mieć to miejsce. Google dodał również, że stworzony przez nich patch “został udostępniony wszystkim partnerom”, ale nie wiadomo, czy ten problem wciąż dotyczy jakichś urządzeń z Androidem. Serwis ArsTechnica niedawno opublikował poradnik dla użytkowników obeznanych z najpopularniejszym mobilnym systemem, z którego można dowiedzieć się, jak sprawdzić, czy nasze urządzenia są wciąż wystawione na niepożądane działania.
Źródło: arstechnica.com, fastcompany.com. Zdjęcie główne artykułu pochodzi z unsplash.com.