>> サイバーニュース > CVE-2019-2234 Allows Attackers to Hijack Samsung’s Camera App
サイバーニュース

CVE-2019-2234攻撃者がSamsungのカメラアプリを乗っ取ることができる

  |  Last Update:  |  0 コメントコメント  

CVE-2019-2234は、GoogleとSamsungのスマートフォンに影響を与えるまったく新しい脆弱性です.

脆弱性, これは、許可バイパスの問題として説明できます, 攻撃者がデバイスのカメラを乗っ取って写真を撮ったりビデオを録画したりする可能性があります, デバイスがロックされている場合でも. 脆弱性は 開示 ErezYalonとCheckmarxによる.




研究者はGoogleカメラアプリを分析し、「特定の行動と意図を操作することによって, 攻撃者は、許可のない不正なアプリケーションを介して写真を撮ったりビデオを録画したりするようにアプリを制御できます」.

さらに, 特定の攻撃シナリオを使用する, ハッカーはストレージ許可ポリシーを回避できます, したがって、保存されたビデオや写真にアクセスします, 写真に埋め込まれたGPSメタデータと同様に. この情報は、写真やビデオを撮り、適切なEXIFデータを解析することで、ユーザーを見つけるために使用できます。.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/qualcomm-security-flaw-leaked-sensitive-data/”] クアルコムのセキュリティ上の欠陥が機密データを漏えい, 危険にさらされているAndroid携帯

同じ方法を使用して、Samsungのカメラアプリを悪用することができます, 分析は示した.

「「アプリケーションがカメラから入力を取得する機能, マイクロフォン, そしてGPS位置はグーグル自身によって非常に侵襲的であると考えられています. 結果として, AOSPは、アプリケーションがユーザーに要求する必要のある特定の権限セットを作成しました,」分析は言った. したがって, 研究者は、攻撃者が行うのと同様の方法でGoogleカメラアプリを悪用することにより、許可ポリシーをバイパスする攻撃シナリオを設計しました.

CVE-2019-2234と「ストレージ権限」の疑わしいケース

Checkmarx分析は、ストレージ権限の疑わしい性質も明らかにしています. Androidカメラアプリは通常、デバイスのSDカードに写真やビデオを保存することは広く知られている事実です. 写真やビデオは機密性の高いユーザー情報として分類されているため, アプリにアクセスするには、特別な権限が必要です, として知られている "ストレージ権限」.

問題は、これらの権限が広すぎて、SDカード全体へのアクセスを許可する可能性があることです.

「「多数のアプリケーションがあります, 正当なユースケースで, このストレージへのアクセスを要求する, まだ写真やビデオに特別な関心はありません. 実際には, これは、観察された最も一般的な要求されたアクセス許可の1つです,」研究者は指摘した.

これは何を意味するのでしょうか? 悪意のあるアプリケーションは写真やビデオを撮ることができます, まったく同じストレージ権限を悪用する可能性があります. 加えて, 場所がカメラで有効になっている場合, 悪意のあるアプリは、ユーザーのデバイスのGPS位置にもアクセスできます.

その点を証明するために、研究者は「基本的なストレージ許可以外の特別な許可を必要としない概念実証アプリ」を開発しました。概念実証アプリは、天気予報アプリケーションをモックし、クライアント部分とサーバー部分を持っていました, 攻撃者が通常使用するコマンドアンドコントロールサーバーを表す. アプリを起動すると, コマンドアンドコントロールサーバーへの接続が開始されます, アプリが攻撃者とされる人物からの指示を待っている場所. アプリを閉じても持続的接続は終了しないことに注意することが重要です.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/facebook-accesses-iphone-camera/”] FacebookはニュースフィードをスクロールしながらiPhoneのカメラにアクセスします

これはCVE-2019-2234の脆弱性に基づく悪意のある活動のリストです, これは、コマンドアンドコントロールサーバーのオペレーターが実行できます。:

  • 被害者の電話で写真を撮り、それをCにアップロードする&Cサーバー
  • 被害者の電話でビデオを録画し、Cにアップロードする&Cサーバー
  • GPSタグの最新の写真をすべて解析し、世界地図上で携帯電話を特定します
  • ステルスモードで動作しているため、写真の撮影やビデオの録画中に電話が無音になります
  • 音声通話を待って、被害者からのビデオと通信の両側からの音声を自動的に録音します.

「「適切な緩和のために、そして一般的なベストプラクティスとして, デバイス上のすべてのアプリケーションを更新するようにしてください,」研究者はお勧めします.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

関連記事:
  1. のセキュリティに最適なIPおよびDVRカメラ 2018 *このテーブルのデータは、毎週更新される可能性があります...
  2. GPSサイバーセキュリティの欠陥は海運業界を危険にさらす GPS may have killed the old-fashioned World War II radio...
  3. で最高の予算のスマートフォンはどれですか 2019 価格合計スコアOSCPURAMバッテリーフィンガープリント 1 オキテル...
  4. 10月に最適なスマートフォン 2014 10月の最高のスマートフォンのレビュー 2014 意思...
  5. 最も安全なスマートフォンはどれですか 価格合計スコアOSVPN暗号化トラックブロックフィンガープリント 1...
  6. 最も安全なスマートウォッチリスト これは包括的なトップです 10 をまとめたリスト...
  7. CVE-2019-0174: RAMBleed攻撃により、攻撃者は秘密鍵ビットを読み取ることができます ダイナミックランダムアクセスメモリに対する新しいサイドチャネルエクスプロイト (DRAM) もっている...
  8. 最も安全なラップトップはどれですか (ノートブック) の 2017 1 2 3 4 5 6 7 8 9 10...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します