Приложения под Android могут пользоваться камерой смартфона без разрешения

Некоторые стандартные команды во многих Android-смартфонах позволяли приложениям запускать и управлять камерой, не запрашивая на это разрешение пользователя, выяснилиисследователи в области информационной безопасности из компании Checkmarx. Компания сообщила об этом Google и Samsung еще несколько месяцев назад, поэтому эти производители уже успели исправить уязвимость. Статья с описанием исследования опубликована на сайте Chechmarx.

Приложения в Android могут запрашивать у системы доступ к некоторым функциям через стандартные API, причем для части функций система просит пользователя предоставить доступ приложению. Например, если приложение запрашивает доступ к камере или функциям сотовой связи, система сначала спрашивает разрешение у владельца.

Кроме системы разрешений в Android также есть подсистема для общения приложений между собой. Например, некоторые приложения указывают координаты места на карте в виде ссылки, нажав на которую, пользователь попадает в стандартное приложение карт. За этим процессом стоит запрос действия через объект Intent. При этом указания на действия могут быть неявными, и в таком случае система сама выбирает приложения, подходящие под запрос, а бывают явными с указанием конкретного приложения и действия.

Исследователи из компании Checkmarx выяснили, что стандартные приложения камеры в смартфонах Google и Samsung позволяют сторонним приложениям вызывать фото- или видео-съемку, независимо от того, есть ли у такого приложения разрешение на доступ к камере. После того, как приложение отправило такой запрос, запускается приложение камеры. В нем можно с помощью набора команд делать фото или видео, а также ставить таймер съемки или выбирать, какую из камер использовать.

Саму по себе эту уязвимость сложно назвать полезной, однако исследователи отмечают, что злоумышленники могут использовать ее вместе с другими возможностями системы. Например, многие приложения в Google Play запрашивают доступ к хранилищу, и пользователи привыкли давать их, не задумываясь о том, зачем программе такой доступ. Получив это разрешение, вредоносное приложение может передавать снятые фотографии на свой сервер, а если у пользователя в настройках камеры включена запись местоположения во время съемки, таким образом оно может отслеживать нахождение человека.

Кроме того, исследователи показали, что работу вредоносного приложения можно скрыть, если оно будет отслеживать состояние датчика приближения и запускать съемку только тогда, когда смартфон приложен к уху во время разговора или лежит экраном на столе.

Исследователи отправили информацию об уязвимости в команду безопасности Android в Google в начале июля, после чего Google и Samsung исправили уязвимости и в ноябре разрешили раскрыть информацию. Однако Google также рассказала, что оповестила другие компании, поэтому, вероятно, уязвимость затронула и смартфоны других производителей.

Источник

Заглавгная иллюстрация: https://ua.depositphotos.com/

Теги:

ТОБІ СПОДОБАЄТЬСЯ

Анімація на пательні: режисери Wriggles&Robins спекли відео до Дня млинця

Яким би млинцям ви не надавали перевагу, певно ви оціните майстерність режисерів-аніматорів, які спекли 600 млинців, перетворивши їх на відео до Дня млинця.

Вперше за 130 років BORJOMI презентує інноваційний продукт FLAVORED — без цукру і калорій

Вперше за 130 років BORJOMI презентує інноваційний продукт FLAVORED — без цукру і калорій

Ми звикли грати із часом наввипередки, заглиблюватися в міські нетрі та скролити історії з життя. Ми давно орієнтуємось на місцевості ...

Hyundai показує як це, коли оком змигнути не встиг, а діти вже виросли

Hyundai та Innocean Australia вирішили показати, що восьмимісний автомобіль Palisade буде лишатися зручним навіть тоді, коли діти вже виросли.

Шведська лотерея: коли мільйонерів забагато

Такі вже вони мільйонери – ви чекаєте одного, а тут набігає аж 1410, зіштовхуючись ліктями та наступаючи одне одному на ноги.

Супермаркет як арт-інсталяція: творчий колектив Meow Wolf збирається приголомшити Лас-Вегас

Як прорекламувати психоделічний та непередбачуваний імерсивний арт-експірієнс, особливо якщо ви його замаскували під (не)звичайний супермаркет? А дуже просто: берете типову ...

Coca-Cola переходить до пляшок з переробленого пластику

Coca-Cola Co. запроваджує використання в США виключно пляшок з переробленого пластику, що є значним зрушенням у стратегії сталого розвитку. Компанія ...