CVE-2019-2234 é uma vulnerabilidade nova marca que afeta o Google e Samsung smartphones.
a vulnerabilidade, que pode ser descrito como um problema de permissão de desvio, poderia permitir que invasores para roubar a câmera do dispositivo para tirar fotos ou gravar vídeos, mesmo quando o dispositivo é bloqueado. A vulnerabilidade foi divulgado por Erez Yalon e Checkmarx.
Os pesquisadores analisaram o aplicativo Câmera do Google e descobriu que “através da manipulação de acções e propósitos específicos, um atacante pode controlar o aplicativo para tirar fotos e / ou gravar vídeos através de uma aplicação desonestos que não tem permissão para fazer isso”.
além disso, utilizando determinados cenários de ataque, hackers podem contornar políticas de permissão de armazenamento, acessando assim vídeos e fotos armazenadas, bem como GPS metadados incorporados em fotos. Esta informação pode ser usada para localizar o usuário por tirar uma foto ou vídeo e analisar os dados EXIF adequadas.
O mesmo método pode ser usado para explorar aplicativo Câmera da Samsung, a análise mostrou.
“A capacidade de um aplicativo para recuperar a entrada a partir da câmara, microfone, e localização GPS é considerado altamente invasivo pelo Google si. Como um resultado, AOSP criado um conjunto específico de permissões que um aplicativo deve solicitar ao usuário,”A análise disse. portanto, os investigadores desenharam um cenário de ataque que ignora a política de permissão por abusar a aplicação Câmara Google de uma forma semelhante ao que um invasor fazer.
CVE-2019-2234 eo caso duvidoso de “Permissões de armazenamento”
A análise Checkmarx também destaca a natureza duvidosa de permissões de armazenamento. É um fato amplamente conhecido que os apps Android câmera normalmente armazenar fotos e vídeos no cartão SD do dispositivo. Desde fotografias e vídeos são classificados como informações de usuário altamente sensível, Aplicativos precisam de permissões especiais para acessá-los, conhecido como "permissões de armazenamento”.
O problema é que essas permissões são muito largas e pode permitir o acesso a todo o cartão SD.
“Há um grande número de aplicações, com casos de uso legítimo, que o acesso pedido para este armazenamento, ainda não têm interesse especial em fotos ou vídeos. De fato, É uma das mais comuns solicitou permissões observado,”Os pesquisadores notaram.
O que isto significa? Um aplicativo malicioso é capaz de fotos e gravar vídeos, e pode abusar das mesmas permissões de armazenamento. além do que, além do mais, se o local está habilitado na câmara, o aplicativo malicioso também pode acessar a localização GPS do dispositivo do usuário.
Para provar que ponto os pesquisadores desenvolveram “um aplicativo de prova-de-conceito que não requer qualquer permissão especial para além da permissão básica de armazenamento.” A prova de conceito aplicativo zombou uma aplicação de tempo e teve a-parte cliente e um servidor -parte, representando um servidor de comando e controle normalmente utilizado por atacantes. Ao iniciar o aplicativo, uma conexão com o servidor de comando e controle é iniciado, onde o aplicativo está aguardando instruções do alegado agressor. É crucial notar que fechar o aplicativo não encerrar a conexão persistente.
Aqui está uma lista de atividades maliciosas baseado na vulnerabilidade CVE-2019-2234, que pode ser realizada pelo operador do servidor de comando e controle:
- Tirar uma foto no telefone da vítima e enviá-lo para o C&servidor C
- Gravando um vídeo no telefone da vítima e enviá-lo para o C&servidor C
- Analisando todas as últimas fotos para tags de GPS e localizar o telefone em um mapa global
- Operando em modo stealth pelo qual o telefone é silenciado enquanto tirando fotos e gravando vídeos
- À espera de uma chamada de voz e gravar vídeo automaticamente a partir da vítima e áudio de ambos os lados da comunicação.
“Para a mitigação adequada e como uma boa prática geral, garantir que você atualizar todos os aplicativos no dispositivo,”Os investigadores recomendam.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: