CVE-2019-2234 ist eine brandneue Sicherheitslücke, die Smartphones Google und Samsung beeinflusst.
Die Sicherheitslücke, die als eine Erlaubnis Bypass-Ausgabe beschrieben, könnte Angreifern ermöglichen, das Gerät die Kamera, um Bilder oder Videos aufnehmen kapern, selbst wenn das Gerät gesperrt ist. Die Sicherheitslücke war offenbart von Erez Yalon und Checkmarx.
Die Forscher analysierten die Google Kamera App und entdeckten, dass „durch Manipulation spezifische Aktionen und Absichten, Ein Angreifer kann die App steuert Fotos und / oder Videos aufzeichnen durch eine Rogue-Anmeldung in Anspruch zu nehmen, die keine Erlaubnis, dies zu tun haben".
Weiter, Verwendung bestimmte Angriffsszenarien, Hacker können Speicherberechtigungsrichtlinien umgehen, somit den Zugriff auf gespeicherte Videos und Fotos, sowie GPS-Metadaten in Fotos eingebetteten. Diese Informationen können verwendet werden, um den Benutzer zu suchen durch ein Foto oder Video und Analysieren der richtigen EXIF-Daten unter.
Das gleiche Verfahren kann verwendet werden Samsung Kamera-App zu nutzen, Die Analyse zeigte,.
"Die Möglichkeit für eine Anwendung Eingabe von der Kamera abrufen, Mikrofon, und GPS-Position wird als sehr invasiv durch Google selbst. Infolge, AOSP erstellt einen bestimmten Satz von Berechtigungen, die eine Anwendung vom Benutzer anfordern müssen,“Die Analyse sagte. So, die Forscher ein Angriffsszenario entworfen, die durch Missbrauch der Google Kamera App in einer Art und Weise ähnlich zu dem, was ein Angreifer die Berechtigungsrichtlinie umgeht tun würde,.
CVE-2019-2234 und der zweifelhafte Fall von „Storage-Berechtigungen“
Die Checkmarx Analyse unterstreicht auch die Fragwürdigkeit Speicherberechtigungen. Es ist eine weithin bekannte Tatsache, dass Android-Kamera-Anwendungen in der Regel speichern Fotos und Videos auf das SD-Karte des Geräts. Da Fotos und Videos werden als hochempfindliche Benutzerinformationen klassifizieren, Anwendungen benötigen spezielle Berechtigungen auf sie zuzugreifen, bekannt als "Speicherberechtigungen".
Das Problem ist, dass diese Berechtigungen zu weit gefasst sind und Zugriff auf die gesamte SD-Karte ermöglichen könnten.
"Es gibt eine große Anzahl von Anwendungen, mit legitimen Anwendungsfälle, dass Anforderung Zugriff auf diese Speicher, Noch kein besonderes Interesse an Fotos oder Videos. Tatsächlich, Es ist eines der am häufigsten angeforderten Berechtigungen beobachtet,“Die Forscher stellten fest.
Was bedeutet das? Eine bösartige Anwendung ist in der Lage, die Fotos und Videos, und kann die gleichen Speicherberechtigungen missbrauchen. Außerdem, wenn die Lage in der Kamera aktiviert, die bösartige App kann auch auf die GPS-Position von dem Gerät des Benutzers.
Um zu beweisen, dass Punkt die Forscher entwickelt „eine Proof-of-Concept-Anwendung, die keine spezielle Erlaubnis über die grundlegenden Speicher Genehmigung erforderlich ist.“ Die Proof-of-Concept-verspottete App eine Wetteranwendung und hatte einen Client-Teil und einen Server -Teil, repräsentiert ein Kommando- und Kontrollserver typischerweise durch Angreifer. Nach dem Start der App, eine Verbindung zu dem Befehls- und Steuerserver initiiert, wo die App auf Anweisungen von dem angeblichen Angreifer wartet. Es ist wichtig zu beachten Sie, dass die App zu schließen beendet nicht die dauerhafte Verbindung.
Hier ist eine Liste von bösartigen Aktivitäten auf der Basis der CVE-2019-2234 Schwachstelle, Dies kann durch den Operator des Befehls und Steuer-Server durchgeführt werden,:
- Aufnehmen eines Fotos auf dem Telefon des Opfers und an die C Hochladen&C-Server
- Aufnahme eines Videos auf dem Telefon des Opfers und an die C Hochladen&C-Server
- Parsen alle aktuellen Fotos für GPS-Tags und das Telefon auf eine globale Karte lokalisieren
- im Stealth-Modus betrieben wird, wobei das Telefon zum Schweigen gebracht wird, während Fotos und Videoaufnahmen nehmen
- Warten auf einen Sprachanruf und automatisch Video aufnehmen, von dem Opfer und Audio von beiden Seiten der Kommunikation.
"Für eine korrekte Minderung und als allgemeines Best Practice, sicherzustellen, dass Sie alle Anwendungen auf dem Gerät aktualisieren,“Die Forscher empfehlen.