Google și Samsung remediază defectul de spionare Android. Alți factori pot fi în continuare vulnerabili

Aurich Lawson / Getty

Până de curând, punctele slabe ale aplicațiilor de camere Android de la Google și Samsung făceau posibil ca aplicațiile necinstite să înregistreze video și audio și să ia imagini și apoi să le încarce pe un server controlat de atacator – fără permisiuni în acest sens. Aplicațiile de cameră de la alți producători pot fi în continuare sensibile.

Punctul slab, care a fost descoperit de cercetătorii de la firma de securitate Checkmarx, a reprezentat un risc potențial de confidențialitate pentru ținte cu valoare ridicată, precum cele pradate de spionii sponsorizați de națiuni. Google a proiectat cu grijă sistemul său de operare Android pentru a împiedica aplicațiile să acceseze camere și microfoane fără permisiunea explicită a utilizatorilor finali. O anchetă publicată marți a arătat că este banală evitarea acestor restricții. Ancheta a constatat că o aplicație nu avea nevoie deloc de permisiuni pentru ca camera să filmeze imagini și să înregistreze video și audio. Pentru a încărca imaginile și videoclipurile – sau orice altă imagine și video stocată pe telefon – pe un server controlat de un atacator, o aplicație avea nevoie de permisiunea de a accesa stocarea, care se numără printre cele mai frecvente drepturi de utilizare.

Slăbiciunea, care este urmărită ca CVE-2019-2234, a permis, de asemenea, atacatorilor să urmărească locația fizică a dispozitivului, presupunând că datele GPS au fost încorporate în imagini sau videoclipuri. Google a închis orificiul de extindere a liniei sale de dispozitive Pixel cu o actualizare a camerei care a devenit disponibilă în iulie. Checkmarx a spus că Samsung a remediat vulnerabilitatea, deși nu a fost clar când s-a întâmplat asta. Checkmarx a declarat că Google a indicat că telefoanele Android de la alți producători ar putea fi, de asemenea, vulnerabile. Producătorii și modelele specifice nu au fost dezvăluite.

"Posibilitatea unei aplicații de a prelua inputul de la aparatul foto, microfon și locația GPS este considerată extrem de invazivă de către Google înșiși", a scris directorul Checkmarx al Cercetării de securitate, Erez Yalon, în analiza de marți. "Drept urmare, AOSP a creat un set specific de permisiuni pe care o aplicație trebuie să le solicite utilizatorului."

Pentru a demonstra riscul, Checkmarx a dezvoltat o aplicație necinstită care dovedește conceptul care a exploatat slăbiciunea. S-a mascat ca o simplă aplicație meteo. Ascunse în interior erau funcții care ar putea:

  • Faceți poze și înregistrați videoclipuri, chiar și atunci când telefonul a fost blocat, ecranul era oprit sau aplicația a fost închisă
  • Trageți datele GPS încorporate în orice fotografie sau videoclip stocat pe telefon
  • Răsfoiește și înregistrează conversații telefonice în două sensuri și înregistrează simultan videoclipuri sau realizează imagini
  • Taci obturatorul camerei pentru a face detectarea spionului mai greu
  • Transferați orice fotografie sau videoclip stocat pe telefon către un server controlat de un atacator
  • Enumerați și descărcați orice imagine JPG sau videoclip MP4 stocată pe cardul SD al telefonului

Un atac nu ar fi complet surprinzător. Ecranul unui dispozitiv exploatat ar afișa camera în timp ce înregistra videoclipuri sau fotografia o imagine. Asta ar fi dezactivat pe oricine se uita la receptor la momentul efectuării atacului. Totuși, atacul va fi capabil să capteze video, sunet și imagini în momentele în care un afișaj al telefonului nu a fost vizibil, cum ar fi atunci când dispozitivul a fost plasat pe ecran. Aplicația a putut utiliza senzorul de proximitate pentru a determina când dispozitivul este cu fața în jos.

Aplicația PoC de la Checkmarx a putut, de asemenea, să folosească senzorul de proximitate al unui telefon pentru a detecta când a fost ținut la urechea unei ținte, așa cum se întâmplă adesea în timpul apelurilor telefonice. Aplicația a putut înregistra ambele părți ale conversației. De asemenea, ar putea înregistra videoclipuri sau realiza imagini, o capacitate utilă în cazul în care spatele telefonului se confrunta cu o tablă albă sau altceva de interes pentru un atacator. Raportul Checkmarx include un videoclip care demonstrează capabilitățile aplicației PoC.

Într-o declarație, oficialii Google au scris: "Apreciem Checkmarx că ne-a atras acest lucru în atenție și colaborăm cu partenerii Google și Android pentru a coordona dezvăluirea. Problema a fost abordată pe dispozitivele Google afectate prin intermediul unei actualizări Play Store la aplicația Google Camera în iulie 2019. Un patch a fost pus la dispoziția tuturor partenerilor ".

Oficialii Samsung au scris: "De când au fost notificați de această problemă de către Google, am lansat ulterior corecții pentru a aborda toate modelele de dispozitiv Samsung care pot fi afectate. Apreciem parteneriatul nostru cu echipa Android care ne-a permis să identificăm și să abordăm direct această problemă."

Declarația nu a spus când Samsung a lansat remedierea sau modul în care clienții Samsung pot verifica dacă patch-ul a fost instalat.

Checkmarx a declarat că Google a indicat în mod privat că este posibil ca și alți producători de telefoane Android, în afară de Samsung, să fie vulnerabili. Declarația Google nu a confirmat direct acest lucru sau nu a spus dacă alți producători au instalat o actualizare.

Într-un e-mail, Yalonul lui Checkmarx a spus că nu este clar de ce aplicațiile pot accesa camera fără ca utilizatorul să ofere permisiunea. El a speculat că slăbiciunea ar putea fi rezultatul faptului că Google face camera să funcționeze cu Google Assistant activat prin voce și alți producători în urma procesului.

Utilizatorii de telefoane Pixel pot confirma că nu sunt vulnerabili accesând aplicații și notificări din meniul de setări, alegând Camera> Advanced> și detaliile aplicației. Ecranul ar trebui să arate că aplicația a fost actualizată din iulie (și, în mod ideal, mult mai recent decât asta).

Verificarea dacă alte telefoane Android sunt susceptibile va fi dificilă pentru majoritatea utilizatorilor. Cei care sunt mai pricepuți tehnic pot rula următoarea comandă:

$ adb shell sunt start-Activity -n
com.google.android.GoogleCamera / com.android.camera.CameraActivity --ez
extra_turn_screen_on true -a android.media.action.VIDEO_CAMERA --ez
android.intent.extra.USE_FRONT_CAMERA adevărat

Comanda de mai sus va forța telefonul să preia video. Următoarea comandă va obliga telefonul să facă o fotografie:

$ adb shell sunt start-Activity -n
com.google.android.GoogleCamera / com.android.camera.CameraActivity --ez
extra_turn_screen_on true -un android.media.action.STILL_IMAGE_CAMERA -
-ez android.intent.extra.USE_FRONT_CAMERA adevărat --ei
android.intent.extra.TIMER_DURATION_SECONDS 3

Abilitatea și norocul necesare pentru ca atacul să funcționeze în mod fiabil și fără detectare sunt suficient de mari încât acest tip de exploatare nu este probabil să fie utilizat împotriva majorității utilizatorilor de Android. Totuși, ușurința de a strecura aplicații rău intenționate în magazinul Google Play sugerează că nu ar fi greu pentru un atacator hotărât și sofisticat să scoată ceva de genul acesta. Nu este de mirare că telefoanele și alte electronice sunt interzise de la SCIF și alte medii sensibile.

Sursa articol

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here