CVE-2019-2234 is een gloednieuw kwetsbaarheid dat Google en Samsung smartphones invloed.
De kwetsbaarheid, die kan worden omschreven als een toestemming bypass kwestie, waardoor aanvallers de camera van het apparaat om foto's of video-opnamen te kapen, terwijl het apparaat is vergrendeld. Het lek was bekendgemaakt door Erez Yalon en Checkmarx.
De onderzoekers analyseerden de Google Camera-app en ontdekte dat “door het manipuleren van specifieke acties en intenties, Een aanvaller kan de app controleren om foto's en / of video's opnemen door een bedrieglijke toepassing die geen toestemming om dat te doen heeft".
Bovendien, gebruik van bepaalde aanval scenario, hackers kunnen opslag toestemming beleid te omzeilen, dus toegang tot opgeslagen video's en foto's, evenals GPS-metagegevens ingebed in foto's. Deze informatie kan worden gebruikt om de gebruiker te lokaliseren door het nemen van een foto of video en het ontleden van de juiste EXIF-gegevens.
Dezelfde methode kan worden gebruikt om Samsung's Camera-app te exploiteren, bleek uit de analyse.
"De mogelijkheid voor een toepassing te halen input van de camera, microfoon, en GPS-locatie wordt beschouwd als zeer invasieve door Google zelf. Dientengevolge, AOSP creëerde een specifieke set machtigingen die een aanvraag moet vragen aan de gebruiker,”Analyse zei. Zo, ontwierpen de onderzoekers een aanval scenario dat de toestemming beleid omzeilt door misbruik te maken van de Google Camera-app op een manier die vergelijkbaar is met wat een aanvaller zou doen.
CVE-2019-2234 en de dubieuze zaak van de “Storage Permissions”
De Checkmarx analyse wijst ook op de dubieuze aard van de opslag permissies. Het is een algemeen bekend feit dat Android camera apps meestal slaan foto's en video's op het apparaat SD-kaart. Aangezien foto's en video's worden geclassificeerd als zeer gevoelige informatie voor de gebruiker, apps hebben speciale rechten om ze te openen, bekend als "opslag permissies".
Het probleem is dat deze rechten zijn te breed en kon toegang tot het gehele SD-kaart mogelijk te maken.
"Er zijn een groot aantal toepassingen, met legitieme use-cases, dat het verzoek van de toegang tot deze opslag, toch geen speciale interesse in foto's of video's. In feite, Het is een van de meest voorkomende gevraagde toestemmingen waargenomen,”De onderzoekers opgemerkt.
Wat betekent dit? Een schadelijke app is in staat om foto's en video, en kan precies dezelfde opslag permissies misbruik. Bovendien, als de locatie is ingeschakeld in de camera, de kwaadaardige app kan ook toegang krijgen tot de GPS-locatie van het apparaat van de gebruiker.
Om dat punt ontwikkelden de onderzoekers bewijzen “een proof-of-concept app die geen speciale toestemming, naast de normale opslag toestemming nodig heeft.” The proof-of-concept app bespot een weerapplicatie en had een client-deel en een server -een deel, wat neerkomt op een command-and-control server doorgaans gebruikt door aanvallers. Bij het starten van de app, een verbinding met de command and control-server wordt gestart, waar de app wacht op instructies van de vermeende aanvaller. Het is cruciaal om er rekening mee dat het sluiten van de app niet de blijvende verbinding te verbreken.
Hier is een lijst van kwaadaardige activiteiten op basis van de CVE-2019-2234 kwetsbaarheid, die kan worden uitgevoerd door de exploitant van de command and control-server worden uitgevoerd:
- Het nemen van een foto op de telefoon van het slachtoffer en uploaden naar de C&C server
- Het opnemen van een video op de telefoon van het slachtoffer en uploaden naar de C&C server
- Het ontleden van alle van de nieuwste foto's voor GPS-tags en het lokaliseren van de telefoon op een globale kaart
- Die actief zijn in stealth-modus, waarbij de telefoon is het zwijgen opgelegd terwijl het nemen van foto's en het opnemen van video
- Het wachten op een gesprek en automatisch worden opgenomen video van het slachtoffer en audio van beide kanten van de communicatie.
"Voor een goede mitigatie en als een algemene best practice, ervoor zorgen dat u alle toepassingen op uw apparaat bij te werken,”De onderzoekers bevelen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: