Google и Samsung исправили баг, позволявший приложениям следить за пользователями через камеру

ИБ-специалист компании Checkmarx Эрез Ялон (Erez Yalon) рассказал об обнаружении ряда проблем, в целом отслеживаемых под идентификатором CVE-2019-2234 и связанных с обходом разрешений в Android.

Анализируя безопасность приложения Google Camera на устройствах Google Pixel 2 XL и Pixel 3, исследователь обнаружил, что Google Camera в сущности может использоваться любым другим приложением, даже если оно не имеет специальных разрешений для этого. В числе прочего оказалось возможно делать фото и записывать видео, даже когда целевое устройство заблокировано, экран отключен, а жертва разговаривает по телефону. Разумеется, все это можно было использовать для слежки за ничего не подозревающими пользователями.

Как вскоре выяснилось, проблемы затрагивали не только устройства Google, но также продукты Samsung, то есть речь шла о сотнях миллионах пользователей.

Ялон объясняет, что под одним идентификатором объединились сразу несколько багов. Так, корень проблемы состоит в том, что обычно приложение камеры в Android хранит изображения и видео на SD-карте, и для доступа к этому контенту другим приложениями требуются соответствующие разрешения. Но доступ к карте, это одно из наиболее запрашиваемых разрешений вообще и такие права, к сожалению, весьма широки и предоставляют доступ ко всей SD-карте сразу.

В итоге, если вредоносному приложению был предоставлен доступ к SD-карте, оно не только получало доступ к уже хранящимся там фотографиям и видео, но также могло использовать брешь для съемки нового фото- и видеоконтента.

«Мы с легкостью сумели записать голос абонента во время разговора, и также могли бы записать голос звонящего, — рассказывают исследователи. — Это нежелательное поведение, так как приложение Google Camera не должно полностью подпадать под контроль внешних приложений, обходя разрешения для камеры, микрофона, GPS».

В качестве PoC специалисты создали специальное приложение для проверки погоды, разработанное таким образом, чтобы продемонстрировать атаку при наличии лишь базовых разрешений на доступ к хранилищу. После запуска эта приложение подключалось к управляющему серверу и ожидало команд оператора на съемку фото и видео, а также хищение отснятого материала. PoC-приложение экспертов могло:

  • сделать фотографию на телефон жертвы и загрузить на управляющий сервер;
  • записать видео и загрузить на управляющий сервер;
  • отсортировать фотографии по тегам GPS и найти девайс на карте;
  • отключить звук во время фотосъемки и записи видео;
  • дождаться голосового вызова (полагаясь на датчик приближения), а затем автоматически записать видео жертвы и аудио обоих участников звонка.

Инженерам Google сообщили о проблеме еще 4 июля 2019 года, предоставив им PoC-приложение и сопровождающее видео. Тем не менее, сначала сотрудники Google сочли, что уязвимость относится к разряду «умеренных» (moderate), и только позже согласились, что брешь все же следует классифицировать как проблему «высокой серьезности» (high). В итоге 1 августа текущего года Google зарегистрировала CVE и подтвердила, что уязвимость касается и продукции других вендоров.

Теперь в Google сообщают, что минувшим летом проблема была решена через обновление для приложения Google Camera через Play Store, а также патч стал доступен для всех партнеров компании. Представители Samsung так же подтвердили, что к настоящему моменту уже выпустили исправления для всех моделей уязвимых устройств.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы