Niebezpieczna luka w urządzeniach z Androidem pozwala na przejęcie kontroli nad aparatem smartfona. W niepowołane ręce mogą dostać się filmy i zdjęcia wykonane bez naszej zgody.
Zaledwie kilka dni temu informowaliśmy Was o błędzie, który objawiał się podczas przeglądania newsfeedu na Facebooku – użytkownikom iOS w tle uruchamiał się aparat. Problemem zajęto się natychmiast i luka bezpieczeństwa została załatana. Jak jednak będzie w wypadku całkiem podobnego bugu występującego w wielu smartfonach z systemem Google’a?
Ze smartfonami jesteśmy bardzo blisko – te urządzenia towarzyszą nam praktycznie cały czas. Myślę, że nikt nie chciałby, żeby każdy aspekt jego życia mógł zostać nie tylko podpatrzony przez osoby do tego nieuprawnione, ale i uwieczniony. A osoby mające telefony działające na Androidzie są tym zagrożone. Problem dotyczy aplikacji aparatu „Google Camera”. Oczywiście użytkownicy produktów z jabłkiem w logo nie musza się przejmować tą usterką – problem dotyczy jedynie użytkowników Androida.
Czym zagraża wspomniana luka?
Setki milionów urządzeń mogły zostać zainfekowane. Całość została opisana na blogu Checkmarx – firmy zajmującej się cyber-bezpieczeństwem. Oznaczyli oni lukę, jako „złośliwą i niebezpieczną”. Osoba mająca dostęp do zainfekowanego urządzenia, może:
- Zrobić zdjęcie lub nagrać film a następnie wysłać pliki na swój serwer
- Przeanalizować każde zrobione zdjęcie jak i tagi GPS, a następnie zlokalizować urządzenie
- Działać w trybie „ukrytym”, który wycisza telefon podczas podanych wyżej akcji – nie usłyszymy dźwięku robienia zdjęcia, czy nagrywania filmu
- Oczekiwać na połączenie głosowe, po czym od razu zacząć je nagrywać
- Tak samo połączenia video – i to z obu stron
Wyjęcie danych EXIF ze zdjęć i ustalenie naszej lokalizacji w połączeniu z ciągłą możliwością obserwowania nas przez aparat smartfona oraz podsłuchiwaniu rozmów – to ogromny problem. Samo nagrywanie rozmów jest łatwe do uruchomienia – jakiejkolwiek połączenie zaczyna być nagrywane w momencie podniesienia telefonu do ucha. Osoba mająca dostęp do naszego telefonu przez ten błąd, ma tak naprawdę nad nim ogromną kontrolę. Film w jaki sposób działa luka, załączony jest poniżej.
Błąd nie pojawił się w tym miesiącu
Historia wykrycia luki jest nieco dłuższa niż kilka dni, czy nawet tygodni. Ekipa Checkmarx przedstawiła ją w swoim wpisie:
- 4 lipca 2019 r. – przesłano raport o usterce do zespołu Bezpieczeństwa systemu Android w Google
- 4 lipca 2019 r. – Google potwierdziło otrzymanie raportu
- 4 lipca 2019 r. – Przykładowa „Złośliwa aplikacja” została wysłana do Google
- 5 lipca 2019 r. – Przykładowy film ze scenariuszem ataku został wysłany do Google
- 13 lipca 2019 r. – Google określił wagę raportu jako „Umiarkowany”
- 18 lipca 2019 r. – Wysłano dalsze uwagi do Google
- 23 lipca 2019 r. – Google zmieniło wagę raportu na „Wysoki”
- 1 sierpnia 2019 r. – Google potwierdziło nasze podejrzenia. Luka może wpłynąć na inne urządzenia z Androidem
- 18 sierpnia 2019 r. – Google skontaktowało się z wieloma dostawcami urządzeń mobilnych w celu uprzedzenia ich o luce
- 29 sierpnia 2019 r. – Samsung potwierdził, że problem dotyczy również jego produktów
- Listopad 2019 – Google i Samsung zatwierdziły publikację łatek bezpieczeństwa
Pojawiły się już łatki
Forbes skontaktował się z Google, które swoje stanowisko przedstawiło następująco:
Doceniamy działanie Checkmarx, którzy zwrócili uwagę na ten problem, oraz współpracowali z Google i partnerami Androida. Problem został rozwiązany, na urządzeniach, których dotyczył problem już w lipcu 2019 roku, poprzez aktualizacje aplikacji kamery w Sklepie Play. Patch został również udostępniony wszystkim partnerom naszego systemu.
Firmy polecają wszystkim użytkownikom zaktualizować system, oraz wszelkie aplikacje, aby zapobiec ewentualnym problemom i wypadkom w związku z przedstawioną luką. Samsung jak i Google wydały już poprawki, jednak nie wiemy, czy błąd nie występuje nadal po stronie urządzeń innych dostawców. Brak testu nie oznacza wcale, że są one w pełni bezpieczne, a Checkmarx zaznaczyło, że wiele innych smartfonów jest wrażliwych na takie ataki. Pojawiła się jedynie informacja, że łatki zostały udostępnione producentom – nie wiemy natomiast, które produkty były narażone na ataki, ani czy każdy z partnerów zastosował poprawki w swoich smartfonach. Checkmarx spekuluje, że błąd może być związany z udostępnieniem aparatu Google Assistant.
Jedyne co nam zostaje, to zaktualizować system oraz wszelkie aplikacje, a w szczególności te odpowiedzialne za aparat.
Źródło: Checkmarx; TheSun; Forbes; 9to5google; MacRumors;