CVE-2019-2234 er en helt ny sårbarhed, der påvirker Google og Samsung smartphones.
Sårbarheden, der kan beskrives som en tilladelse bypass problem, kan gøre det muligt for angribere at kapre enhedens kamera til at tage billeder eller optage video, selv når enheden er låst. Sårbarheden var beskrevet ved Erez Ayalon og Checkmarx.
Forskerne analyserede appen Google Kamera og opdagede, at ”ved at manipulere specifikke aktioner og hensigter, en hacker kan styre, at appen kan tage billeder og / eller optage videoer via en slyngelstat program, der ikke har nogen tilladelse hertil".
Endvidere, anvende visse manipulationsscenarier, hackere kan omgå opbevaring tilladelse politikker, dermed få adgang til lagrede videoer og fotos, samt GPS metadata integreret i billeder. Denne information kan bruges til at lokalisere brugeren ved at tage et foto eller en video og parsing de rigtige EXIF-data.
Samme metode kan bruges til at udnytte Samsungs Kamera app, Analysen viser.
"Muligheden for et program til at hente input fra kameraet, mikrofon, og GPS-position anses for meget invasive af Google selv. Som et resultat, AOSP skabte et bestemt sæt af tilladelser, at en ansøgning skal anmode fra brugeren,”Analysen sagde. Således, forskerne udviklet et angreb scenarie, der omgår tilladelse politik ved at misbruge appen Google Kamera på en måde svarende til hvad en hacker ville gøre.
CVE-2019-2234 og den tvivlsomme tilfælde af ”Opbevaring Tilladelser”
Den Checkmarx analyse fremhæver også den tvivlsomme karakter storage tilladelser. Det er et almindeligt kendt faktum, at Android-kamera apps som regel gemme fotos og videoer på enhedens SD-kort. Da fotos og videoer er klassificeret som meget følsomme brugeroplysninger, apps brug for særlige tilladelser til at få adgang til dem, kendt som "tilladelser opbevaring".
Problemet er, at disse tilladelser er for brede og kunne give adgang til hele SD-kort.
"Der er et stort antal ansøgninger, med legitime use-cases, at anmode om adgang til denne opbevaring, endnu ikke har nogen særlig interesse i billeder eller videoer. Faktisk, Det er en af de mest almindelige anmodede tilladelser observeret,”Forskerne bemærkede.
Hvad betyder det? En ondsindet applikation er i stand til at tage billeder og videoer, og kan misbruge de meget samme tilladelser storage. Desuden, hvis placeringen er aktiveret i kameraet, den ondsindede app kan også få adgang til GPS-placering af brugerens enhed.
For at bevise dette punkt forskerne udviklet ”et proof-of-concept app, der ikke kræver nogen særlig tilladelse ud over den grundlæggende opbevaring tilladelse.” The proof-of-concept app hånet en vejr program og havde en klient-del og en server -en del, repræsenterer en kommando-og-kontrol-server typisk anvendes af angribere. Ved start af app, en forbindelse til kommando og kontrol-server påbegyndes, hvor app venter på instrukser fra den påståede angriberen. Det er afgørende at bemærke, at lukke app ikke opsige vedvarende forbindelse.
Her er en liste over ondsindede aktiviteter baseret på CVE-2019-2234 sårbarheden, der kan udføres af operatøren af kommandoen og styreserveren:
- Tage et billede på ofrets telefon og uploade det til C&C server
- Optage en video på ofrets telefon og uploade det til C&C server
- Parsing alle de nyeste billeder til GPS-tags og lokalisere telefonen på et globalt kort
- Opererer i stealth-mode, hvor telefonen er bragt til tavshed, mens du tager billeder og optager video
- Venter på et taleopkald og automatisk optage video fra offeret og lyd fra begge sider af kommunikationen.
"For korrekt afbødning og som en generel bedste praksis, sikre, at du opdatere alle programmer på enheden,”Forskerne anbefaler.