En sikkerhedsfejl i Android OS gør det muligt for useriøse apps at kapre en brugers smartphone-kamera og tage billeder, optage video, lyd og uploade disse filer til en ekstern server - alt sammen uden brugernes viden, selv når telefonen er låst!
Cybersikkerhedsfirmaet Checkmarx afdækkede disse mangler tilbage i juli, men resultaterne blev offentliggjort i går. Mens Google og Samsung har patched denne Android-fejl i deres enheder, er andre smartphones, der bruger Android OS, stadig sårbare over for den.
Så det er meget muligt, at hundreder af millioner af smartphone-brugere kunne have været modtagelige for at udnytte. Checkmarx afslørede fejlene i CVE-2019-2234, hvilket skyldes tilladelsesomgåelsesproblemer.
Hvordan fungerer Android-fejlen??
Google er streng, når det kommer til at give tilladelser til mobilapps til at få adgang til kameraet, mikrofonen eller placeringstjenesterne. Derfor skal brugerne acceptere anmodninger om tilladelse, men i dette tilfælde var Checkmarx i stand til at omgå den.
Kamera-appen på Android gemmer normalt billeder og videoer på et SD-kort, og det er derfor, apps kræver lagringstilladelse.
Lagringstilladelser er dog meget brede, og disse tilladelser giver adgang til hele SD-kortet. I Checkmarxs angrebsscenarie, hvis en ondsindet app får adgang til SD-kortet, kan den ikke kun få adgang til tidligere fotos og videoer, men også tvinge fotoappen til at tage nye billeder og videoer.
Hvad der gør det værre er, at GPS-metadata ofte er indlejret i billeder, så en hacker kan dybest set analysere disse data for også at spore en brugers placering. Ud over dette var forskerne i stand til at optage den, der ringer op og modtagerens stemme under opkaldet.
Hold dine Android-enheder opdateret
Checkmarx indsendte denne sårbarhedsrapport til Androids sikkerhedsteam hos Google i juli. I august kontaktede både Google og Checkmarx forskellige smartphone-producenter angående sårbarheden, og Samsung bekræftede, at det var påvirket.
Nu har Google også bekræftet det samme og frigivet en patch til denne kamerafejl til Android-partnere. Vi har ikke et nøjagtigt antal af, hvor mange enheder der er blevet berørt af dette problem, eller hvis de har modtaget programrettelsen endnu - og dette antal kan falde i millioner.
Men vi ved, at Google og Samsung har opdateret denne fejl, og alle Android-brugere skal installere sikkerhedsopdateringer, så snart de modtager den.
Læs også: NextCry Ransomware krypterer filer på NextCloud Linux-servere