Зараженное ПО предоставило возможность злоумышленникам делать фотографии, скачивать изображения, снимать видео и прослушивать телефонные звонки с помощью приложения «Камера Google», - передает SCmagazine.
Недостаток CVE-2019-2234 является проблемой обхода разрешений, которая обеспечивает доступ к телефону в реальном времени через приложение камеры, - согласно отчету Исследовательской группы безопасности Checkmarx. Взлом телефона начинается с того, что жертва загружает вредоносное приложение, которое запрашивает разрешение на доступ к хранилищу, и после загрузки создает постоянное соединение с сервером внешнего управления и контроля, которое невозможно разорвать, даже если приложение закрыто, экран выключен или телефон заблокирован.
Команда Checkmarx обнаружила уязвимость в смартфонах Google Pixel 2/3 и Samsung. «Мы обнаружили, что некоторые сценарии атак позволяют злоумышленникам обходить различные политики безопасности хранения данных, предоставляя им доступ к сохраненным в памяти видео и фотографиям, а также к метаданным GPS, встроенным в фотографии, для определения местоположения пользователя путем съемки фотографии или видео и анализа надлежащего EXIF», - отметили в Checkmarx.
Крейг Янг, исследователь компьютерной безопасности VERT, был удивлен, что Google допустила такой недостаток в своих усилиях по контролю качества. «Одним из наиболее важных аспектов безопасности приложений Android является блокирование экспортируемых действий. Android Intents служат связующим звеном для взаимодействия между приложениями во время работы, позволяя, например, одному приложению вызывать действие из другого», - сказал Янг.
Google и Samsung подтвердили, что проблема существует. Google выпустил обновление для ее устранения. «Мы благодарны Checkmarx за то, что обратили на проблему наше внимание. На данный момент она решена на устройствах Google с уязвимостью через обновление Play Store. Патч также доступен для всех партнеров», - сказал представитель Google.