CVE-2019-2234 è un marchio di vulnerabilità nuova che colpisce gli smartphone di Google e Samsung.
La vulnerabilità, che può essere descritto come un problema di permessi di bypass, potrebbe consentire agli aggressori di dirottare la fotocamera del dispositivo per scattare foto o registrare video, anche quando il dispositivo è bloccato. La vulnerabilità è stata divulgato da Erez Yalon e Checkmarx.
I ricercatori hanno analizzato l'app Google Fotocamera e ha scoperto che “manipolando le azioni e le intenzioni specifiche, un attaccante in grado di controllare l'applicazione per scattare foto e / o registrare video attraverso un'applicazione rogue che non ha il permesso di farlo".
Inoltre, utilizzando alcuni scenari di attacco, gli hacker possono aggirare criteri di autorizzazione di stoccaggio, accedendo in tal modo i video e le foto memorizzate, così come GPS metadati incorporati nelle foto. Queste informazioni possono essere utilizzate per individuare l'utente prendendo una foto o un video e l'analisi dei dati EXIF corretti.
Lo stesso metodo può essere utilizzato per sfruttare Camera app di Samsung, l'analisi ha mostrato.
"La possibilità per un programma per recuperare input dalla fotocamera, microfono, e la posizione GPS è considerato altamente invasiva da parte di Google se stessi. Di conseguenza, AOSP ha creato uno specifico insieme di autorizzazioni che un'applicazione deve richiedere da parte dell'utente,”L'analisi ha detto. Così, i ricercatori hanno progettato uno scenario di attacco che aggira la politica il permesso di abusare della fotocamera app di Google in un modo simile a quello che un utente malintenzionato dovrebbe fare.
CVE-2019-2234 e il caso di dubbia “Autorizzazioni di archiviazione”
L'analisi Checkmarx evidenzia anche la natura dubbia dei permessi di stoccaggio. E 'un fatto noto che Android app fotocamera solito memorizzare foto e video su scheda SD del dispositivo. Dal momento che foto e video sono classificati come le informazioni utente altamente sensibili, applicazioni hanno bisogno di autorizzazioni speciali per accedervi, conosciuto come "i permessi di stoccaggio".
Il problema è che queste autorizzazioni sono troppo ampi e potrebbe consentire l'accesso a tutta la scheda SD.
"Ci sono un gran numero di applicazioni, con legittimi casi d'uso, tale richiesta l'accesso a questo storage, eppure non hanno alcun interesse particolare in foto o video. Infatti, E 'uno dei più comuni richiesti permessi osservato,”I ricercatori hanno notato.
Che cosa significa questo? Un'applicazione maligno è in grado di scattare foto e video, e può abusare delle stesse autorizzazioni di stoccaggio. In aggiunta, se la posizione è abilitata nella fotocamera, l'applicazione malintenzionato può anche accedere alla posizione GPS del dispositivo dell'utente.
Per dimostrare questo punto i ricercatori hanno sviluppato “un'applicazione proof-of-concept che non necessita di alcun permesso speciale al di là del consenso l'archiviazione di base.” La prova-of-concept app deriso un'applicazione meteo e aveva un client e un server parte -parte, che rappresenta un server di comando e controllo in genere utilizzato dagli aggressori. All'avvio l'applicazione, viene avviata una connessione al server di comando e controllo, in cui l'applicazione è in attesa di istruzioni da parte del presunto aggressore. E 'fondamentale sottolineare che la chiusura l'applicazione non termina la connessione persistente.
Ecco un elenco delle attività dannose sulla base della vulnerabilità CVE-2019-2234, che può essere effettuata dal gestore del server di comando e controllo:
- Scattare una foto sul telefono della vittima e per l'upload al C&Server di C
- Registrazione di un video sul telefono della vittima e per l'upload al C&Server di C
- Analisi tutte le ultime foto per i tag GPS e localizzazione del telefono su una mappa globale
- Operando in modalità stealth per cui il telefono viene messo a tacere durante l'assunzione di foto e registrare video
- In attesa di una chiamata vocale e registrare video automaticamente dalla vittima e audio da entrambi i lati della comunicazione.
"Per una corretta mitigazione e come best practice generale, Assicurati di aggiornare tutte le applicazioni sul dispositivo,”I ricercatori raccomandano.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: