Fotoaparáty na Androidu mohou tajně natáčet uživatele

Focení mobilním telefonem stále získává na popularitě, spojení telefonu a fotoaparátu v něm s sebou však nese i jistá rizika. Telefon je připojen na internet, jeho operační systém není úplně bezchybný a jak ukázal výzkum, riziko plyne i z aplikací, které mohou zneužívat fotoaparát. Tým výzkumníků v Checkmarx Security Research přemýšlel, zda jsou zde nějaká bezpečnostní rizika a opravdu je našel. Nejprve začali s Google Pixel 2 XL a Pixel 3, nicméně později zjistili, že se podobné problémy týkají i jiných výrobců. Objevená chyba dostala kód CVE-2019-2234 a umožňuje útočníkům přístup k hodně soukromým vlastnostem telefonu a jeho fotoaparátu.

 

 

Stačilo totiž vytvořit falešnou aplikaci pro informace o počasí. Povolení přístupu ke kartě a k GPS není nic zvláštního, takže by to asi většina lidí odsouhlasila. To už ale aplikace může přistupovat k různým složkám a z pořízených fotografií a jejich EXIFu získávat i GPS souřadnice. U právě pořízeného snímku si tak může vyzobnout i aktuální polohu telefonu.

 

Připojení na vzdálený server také není nic podezřelého (odtud by aplikace měla brát údaje o počasí), ale zároveň může jít o server, který do aplikace posílá příkazy. Celkem se tak tvůrcům povedlo zaslat i příkaz pro pořízení fotky i videa, vytažení GPS souřadnice z EXIFu, nahrát videa u zamčeného telefonu, při hovoru natáčet selfie kamerkou a získat i celé audio z nahraného videa. Google už chybu opravil a upozornil na ni i další výrobce telefonů, kteří by měli přijít s opravami.

 

Zdroj: techradar.com, checkmarx.com