Android-camerabeveiligingsbedreiging, bekendgemaakt en sindsdien behandeld, spion kwetsbaarheden had. Deze zijn opgelost door Google en Samsung met een patch die is uitgerold voor Pixel- en Samsung-apparaten.

Stel je voor dat je app video opneemt en foto's maakt zonder jouw toestemming.

Kortom, aanvallers kunnen uw telefooncamera kapen. Dan Goodin in Ars Technica :Dit ging allemaal over "een app had helemaal geen rechten nodig om de camera foto's te laten maken en video en audio op te nemen."

Wat als je telefoon was vergrendeld? Ze zouden het nog kunnen. Wat als je scherm was uitgeschakeld? Ze zouden het nog kunnen.

Op dinsdag, Erez Yalon, Directeur Beveiligingsonderzoek bij Checkmarx, opengesteld over de bugs, aanvalsstrategie van hun team, en de kwetsbaarheden die ze ontdekten (CVE-2019-2234).

In de tussentijd, Veiligheidszaken heeft dinsdag het nummer aan zijn lezers voorgesteld, cybersecurity-experts van Checkmarx ontdekten meerdere kwetsbaarheden in de Android-camera-apps van Google en Samsung en deze zouden door hackers kunnen zijn misbruikt om honderden miljoenen gebruikers te bespioneren.

"De kwetsbaarheden worden gezamenlijk gevolgd als CVE-2019-2234, aanvallers kunnen ze misbruiken om verschillende activiteiten uit te voeren, inclusief het opnemen van video's, foto's nemen, spraakoproepen opnemen, het volgen van de locatie van de gebruiker."

Wat betreft de Checkmarx-blog, Yalon heeft het pad naar ontdekking gedetailleerd beschreven. "Om beter te begrijpen hoe smartphonecamera's gebruikers blootstellen aan privacyrisico's, het Checkmarx Security Research Team heeft de applicaties zelf gekraakt die deze camera's besturen om mogelijke misbruikscenario's te identificeren. Het team heeft een Google Pixel 2 XL en Pixel 3 bij de hand, uiteindelijk het vinden van meerdere met betrekking tot kwetsbaarheden die voortvloeien uit "permission bypass-problemen".

Het team heeft beide versies van Pixel (2 XL / 3) getest in hun laboratoria. Het team leverde een proof-of-concept (PoC) video en een technisch rapport. Video-aantekeningen zeiden:"Het Checkmarx Security Research Team laat zien hoe kwetsbaarheden in de Google-cameratoepassing kunnen worden misbruikt, het apparaat dwingen om foto's te maken, videos, en afluisteren zonder medeweten van de gebruiker."

Yalon zei dat de bevindingen werden gedeeld met Google, Samsung en andere op Android gebaseerde OEM's voor smartphones.

Tijdlijn van ZDNet :Google werd op 4 juli op de hoogte gebracht van de bevindingen van de onderzoekers. Google registreerde de CVE en bevestigde dat andere leveranciers werden getroffen. Er is een fix uitgebracht. Dat meldt Google in een verklaring. "Het probleem is opgelost op getroffen Google-apparaten via een Play Store-update voor de Google Camera-applicatie in juli 2019. Er is ook een patch beschikbaar gesteld voor alle partners."

Een Samsung-woordvoerder vertelde ondertussen: Business insider het bedrijf heeft ook patches uitgebracht om het probleem aan te pakken.

Alfred Ng van CNET meldde dat nadat Checkmarx Google en Samsung in juli had geïnformeerd over het beveiligingsprobleem. De twee bedrijven vertelden Checkmarx dat ze het probleem dezelfde maand in een Play Store-update hadden opgelost. Echter, Ng heeft toegevoegd, "Zolang de patch beschikbaar is, het is onduidelijk of elke getroffen apparaatmaker de oplossing heeft uitgegeven."

Dan Goodin in Ars Technica had een soortgelijke waarschuwing/ "Tot voor kort, zwakke punten in Android-camera-apps van Google en Samsung maakten het voor malafide apps mogelijk om video en audio op te nemen en afbeeldingen te maken en deze vervolgens te uploaden naar een door een aanvaller gecontroleerde server - zonder enige toestemming om dit te doen. Camera-apps van andere fabrikanten kunnen nog steeds vatbaar zijn."

Aaron Holmes , Business insider , en Dan Goodin, Ars Technica, vertelde hun lezers wat ze moesten doen om veilig te zijn, sorry:controleer je Android-apparaat, eenvoudigweg, om te zien of het kwetsbaar is. Ze stelden ook manieren voor om te controleren, als het apparaat dat gecontroleerd moest worden noch Pixel noch Samsuing was, zoals Goodin opmerkte dat "camera-apps van andere fabrikanten mogelijk nog steeds vatbaar zijn."

© 2019 Wetenschap X Netwerk