Ошибка приложений камеры в Android позволяет записывать видео без разрешения

Приложения Android могут предоставлять различные свои функции вроде возможности делать снимки другим приложениями на устройстве, но это требует получения необходимых разрешений. Исследователи из Checkmarx в координации с Google и Samsung раскрыли информацию об уязвимости, которая позволяла приложениям делать снимки, записывать видео и определять местоположение устройства, даже если у них нет на это разрешений. Известно, что уязвимость, известная как CVE-2019-2234, затрагивает все приложения Google Camera и Samsung Camera до июля 2019 года.

Проанализировав приложение камеры в Google Pixel, исследователи Checkmarx обнаружили многочисленные функции, которые можно объединить, чтобы манипулировать камерой устройства, делать снимки и записывать видео. Обычно приложение должно иметь разрешения android.permission.CAMERA, android.permission.RECORD_AUDIO, android.permission.ACCESS_FINE_LOCATION и android.permission.ACCESS_COARSE_LOCATION для записи видео, фотографирования или доступа к местоположению устройства.

Специалисты Checkmarx обнаружили, что приложения, имеющие разрешение просто на хранение данных (оно даёт ПО доступ к накопителю устройства и карте памяти) с помощью открытых функций приложения «Камера» могут осуществлять съёмку фото и видео без получения дополнительных разрешений.

«Вредоносное приложение, работающее на смартфоне Android, которое может считывать данные с карты SD, не только имеет доступ к прошлым фотографиям и видео, но и с помощью этой новой методологии атаки может быть направлено на инициирование (снятие) новых фотографий и видео по запросу. Но это ещё не всё. Так как метаданные GPS обычно встраиваются в фотографии, злоумышленник может воспользоваться этим фактом, чтобы также определить местонахождение пользователя, сделав фотографию или видео и проанализировав соответствующие данные EXIF», — написали специалисты.

Это большая проблема, поскольку очень многие приложения регулярно запрашивают разрешение на доступ к накопителю — например, игры, потоковые службы и даже приложения с прогнозом погоды. Согласно отчёту Checkmarx, это разрешение является наиболее распространённым на платформе Google Android: «Существует большое количество приложений с законными вариантами использования, которые запрашивают доступ к этому хранилищу, но не проявляют особого интереса к фотографиям или видео. Фактически это одно из самых распространённых запрашиваемых разрешений».

Что ещё хуже, исследователи создали работающее приложение, которое маркируется под приложение погоды, но тихо отправляет записи изображений, видео и телефонных звонков обратно на демонстрационный сервер, в том числе по удалённому запросу. В общем, уязвимость весьма опасна, поскольку она позволяет обычным приложениям, не имеющим особых разрешений, следующее:

делать снимки и видеоролики, даже если телефон заблокирован или экран выключен;
получать данные о местоположении GPS из сохранённых фотографий;
слушать двусторонние разговоры, даже когда записывается видео и фотографии;
выключать звук затвора камеры, чтобы жертва не слышала съёмку;
передавать старые видео и фотографии, хранящиеся на карте памяти.

Checkmarx раскрыла эту уязвимость Android 4 июля 2019 года, а к 23 июля Google пометила эту уязвимость высоким приоритетом. 1 августа компания подтвердила подозрения исследователей о том, что уязвимость затронула приложения камер других производителей смартфонов Android, и выпустила заплатку CVE-2019-2234. По словам Google, эта уязвимость в приложении «Камера» была исправлена в июле 2019 года с помощью обновления в Google Play Store, и заплатки были выпущены для других поставщиков. Всем пользователям настоятельно рекомендуется перейти на последнюю версию Android и убедиться, что используется обновлённое приложение «Камера».