Výzkumná firma Checkmarx odhalila bezpečnostní chybu Androidu, která případným útočníkům umožnila vzdálený přístup k fotoaparátu, souborům, protokolům volání a také k historii GPS pozice! Zranitelnost byla odhalena u aplikace Fotoaparát u Pixelů od Googlu a také u dalších výrobců zařízení s operačním systémem Android, např. u Samsungu. Stačilo nainstalovat podvrženou aplikaci a povolit ji přístup k souborům...
...což na Androidu není nic neobvyklého. Oprávnění pro přístup k úložišti požaduje každá druhá stažená aplikace. Checkmarx zranitelnost odprezentoval Googlu a Samsungu, kteří chybu označenou jako CVE-2019-2234 uznali a vydali bezpečnostní záplatu, která se do telefonů postupně šíří v rámci listopadové aktualizace zabezpečení.
Podívejte se, jak šla zranitelnost fotoaparátu zneužít v praxi:
Jak konkrétně mohl případný útočník zneužít přístup k telefonu přes aplikaci Fotoaparát, můžete krásně vidět na videu výše. Stačilo do telefonu nainstalovat podvrženou aplikaci, např. jednoduché zobrazení aktuálního počasí. Po spuštění vytvořila aplikace spojení se serverem, které pokračovalo i po zavření mobilní aplikace. Případný útočník mohl na dálku pořídit fotku nebo video (po ukončení nahrávání se Fotoaparát sám zavřel), mohla zjistit vaši aktuální GPS pozici, příp. historii vašeho pohybu nebo procházet soubory uložené v paměti.
Google kontaktoval i další výrobce Androidu, aby záplatu zakomponovali do svých aktualizací zabezpečení, resp. budoucích aktualizací systému. Pokud tedy svůj Android pravidelně aktualizujete, nemusíte se ničím stresovat. Největší ochrana je i v tomto případě zcela zřejmá. Nestahujte neověřené aplikace z Google Play, ani aplikační balíčky pokoutně stažené z internetu. Detaily zranitelnosti CVE-2019-2234 si můžete detailně prostudovat zde.
