О новой уязвимости операционной системы Android заявил глава отдела безопасности компании Checkmarx Эрез Ялон.
Со слов эксперта, злоумышленники, пользуясь уязвимостью в системе безопасности Android, могут управлять приложением «Камера». Он рассказал, что обнаружил эту уязвимость в приложениях «Камеры» разработки Google и Samsung. Она появляется, как только пользователь открывает приложению доступ к памяти устройства.
Ялон продемонстрировал, как могут злоумышленники воспользоваться этой уязвимостью. Он создал фальшивое приложение погоды, которое запрашивает единственное разрешение у пользователя — на доступ к памяти. Само по себе приложение безвредно и не блокируется системой безопасности Google Play Protect. При этом после того как приложение было закрыто, соединение с сервером не прервалось, и хакер может отправлять команды на гаджет.
Пользуясь данной уязвимостью, хакер сможет даже на заблокированном гаджете снимать фото и видео и загружать данные на удаленный сервер. И обнаружить это пользователь не сможет, поскольку звук срабатывания «затвора» будет отключен.
Также эта уязвимость позволяет хакеру с помощью датчика приближения определять, что пользователь говорит по телефону, а затем записывать, что говорят оба собеседника. Злоумышленник сможет записывать видео пользователя во время звонка, в дополнение к звуку.
Помимо этого, воспользовавшись этой уязвимостью, хакер сможет получить неограниченный доступ к фото и видео на устройстве. У него будет доступ к меткам PS со всех фото на устройстве, если пользователь разрешил их приложению камеры.
Стоит отметить, что Google признает уязвимость системы Android, заявляя, что многие проблемы с уязвимостью Android уже устранены.