CVE-2019-2234 est une toute nouvelle vulnérabilité qui affecte les smartphones Google et Samsung.
La vulnérabilité, qui peut être décrit comme un problème de contournement d'autorisation, pourrait permettre à des attaquants de détourner l'appareil photo de l'appareil pour prendre des photos ou enregistrer des vidéos, même lorsque le dispositif est verrouillé,. La vulnérabilité a été divulgués par Erez Yalon et Checkmarx.
Les chercheurs ont analysé l'application Appareil photo Google et a découvert que «en manipulant des actions spécifiques et les intentions, un attaquant peut contrôler l'application pour prendre des photos et / ou enregistrer des vidéos via une application escroc qui n'a pas la permission de le faire".
En outre, en utilisant certains scénarios d'attaque, les pirates peuvent contourner les stratégies d'autorisation de stockage, ainsi accéder à des vidéos et des photos stockées, ainsi que les métadonnées intégrées dans les photos GPS. Ces informations peuvent être utilisées pour localiser l'utilisateur en prenant une photo ou une vidéo et analyse les propres données EXIF.
La même méthode peut être utilisée pour exploiter l'application Appareil photo de Samsung, l'analyse a montré.
"La capacité d'une application pour récupérer l'entrée de la caméra, microphone, et l'emplacement GPS est considéré comme très invasive par Google eux-mêmes. Par conséquent, PSBA a créé un ensemble spécifique d'autorisations d'une application doit demander à l'utilisateur,» L'analyse dit. Ainsi, les chercheurs ont conçu un scénario d'attaque qui contourne la politique d'autorisation en abusant de l'application Appareil photo Google d'une manière similaire à ce qu'un attaquant ferait.
CVE-2019-2234 et le cas Dubious de « stockage autorisations »
L'analyse Checkmarx met également en évidence la nature douteuse des autorisations de stockage. Il est un fait largement connu que les applications de la caméra Android stockent habituellement des photos et des vidéos sur la carte SD de l'appareil. Depuis des photos et des vidéos sont classées comme des informations utilisateur très sensibles, applications besoin de permissions spéciales pour y accéder, connu comme "autorisations de stockage".
Le problème est que ces autorisations sont trop larges et pourraient permettre l'accès à la totalité de la carte SD.
"Il existe un grand nombre d'applications, avec légitimes cas d'utilisation, que l'accès à la demande à ce stockage, mais ont aucun intérêt particulier des photos ou des vidéos. En fait, il est l'un des plus courantes autorisations demandées observé,» Les chercheurs ont noté.
Qu'est-ce que cela signifie? Une application malveillante est capable de prendre des photos et des vidéos, et peut abuser des autorisations de stockage mêmes. En outre, si l'emplacement est activé dans l'appareil photo, l'application malveillante peut également accéder à la position GPS de l'appareil de l'utilisateur.
Pour prouver ce point, les chercheurs ont développé « une application preuve de concept qui ne nécessite pas d'autorisation spéciale au-delà de l'autorisation de stockage de base. » L'application la preuve de concept moqué une application météo et avait une partie client et un serveur -partie, représentant un serveur de commande et de contrôle généralement utilisé par des attaquants. Lors du démarrage de l'application, une connexion au serveur de commande et de contrôle est initié, où l'application attend les instructions de l'agresseur présumé. Il est essentiel de noter que la fermeture de l'application ne se termine pas la connexion persistante.
Voici une liste des activités malveillantes en fonction de la vulnérabilité CVE-2019-2234, qui peuvent être effectuées par l'opérateur de la commande et le serveur de contrôle:
- Prendre une photo sur le téléphone de la victime et le télécharger au C&Serveur C
- Enregistrement d'une vidéo sur le téléphone de la victime et le télécharger au C&Serveur C
- Parsing toutes les dernières les photos pour les balises GPS et de localiser le téléphone sur une carte du monde
- Fonctionnant en mode furtif dans lequel le téléphone est réduit au silence tout en prenant des photos et enregistrer des vidéos
- En attente d'un appel vocal et vidéo enregistrent automatiquement de la victime et audio des deux côtés de la communication.
"Pour mesures d'atténuation appropriées et en tant que meilleure pratique générale, assurez-vous de mettre à jour toutes les applications sur votre appareil,» Les chercheurs recommandent.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: