Руководитель отдела исследований безопасности компании Checkmarx Эрез Ялон (Erez Yalon) обнаружил в мобильных устройствах Google и Samsung ряд уязвимостей, объединенных под одним идентификатором CVE-2019-2234.

В ходе исследования безопасности камер в устройствах Google Pixel 2 XL и Pixel 3 команда специалистов Checkmarx обнаружила уязвимости в приложении «Камера» от Google, позволившие им управлять некоторыми функциями, не получив соответствующего разрешения.

В целом, CVE-2019-2234 позволяет любому приложению без соответствующего разрешения управлять приложением «Камера», в том числе снимать фото и видео, даже если устройство заблокировано, экран выключен, а пользователь разговаривает по телефону. По словам специалистов, помимо Google, проблема затрагивает и других производителей Android-устройств, в том числе Samsung.

Google ограничивает доступ приложений к чувствительным функциям, таким как камера, микрофон и геолокационные сервисы. Для получения доступа к ним требуется сначала получить соответствующее разрешение. Тем не менее, обнаруженная исследователями уязвимость позволяет обойти эти ограничения.

Приложение «Камера» в ОС Android обычно сохраняет фотографии на SD-картах, поэтому для доступа к ним другие приложения запрашивают доступ к SD-карте. «К сожалению, это разрешение имеет широкий спектр действия и предоставляет доступ к SD-карте в целом. Существует целый ряд легитимных приложений, запрашивающих доступ к хранилищу, хотя для работы им не требуются изображения и видео. По факту, это одно из самых запрашиваемых разрешений», - сообщили исследователи.

Именно это разрешение специалисты решили использовать в качестве вектора атаки. Как оказалось, если вредоносному приложению предоставить доступ к SD-карте, то оно не только получит доступ к фотографиям и видео, но благодаря уязвимости также заставит фото-приложение снимать новые фотографии и видео.

«Мы могли легко записывать голос как пользователя во время разговора, так и голос звонящего. Это нежелательная активность, поскольку приложение Google «Камера» не должно полностью контролироваться внешним приложением», - отметили исследователи.

Исследователи уведомили Google о проблеме в июле нынешнего года. Сначала компания сочла уязвимость средней опасности, но затем признала ее высоко опасной, зарегистрировала CVE и выпустила исправление.