MRT Net - Aktualności - Google z poważną luką w aplikacji aparatu. Przestępcy mogli nagrywać nieświadomych użytkowników.

1 . Brama_Florianska

2 . Rynek_Podgorski

3 . Widok_na_Pl.WŚ

4 . Widok_na_Rynek

5 . Widok_na_Wawel

6 . Widok_na_Wisłe

7 . Widok_z_Brackiej

MRT Net

Microsoft Programy Samsung Wave Android Bada Aktualności Linki Nowości Informacje Fotografia T-Mobile Technologie Adobe Specyfikacje Galaxy Premiera Zapowiedzi Intel Nvidia Kraków Architektura Biotechnologia Chip System Nawigacja Galileo Gps Windows Linux Galeria Software Hardware Top 500 Superkomputery Serwer Wirtualizacja Flash Pamięci Internet Plikownia YouTube Gry Radio Amd Panasonic Nokia Nikon Sony OS Cloud Computing Red Hat Enterprise Toshiba LTE 4G Lockheed Martin Motorola IBM Internet Explorer 11 Grafen Wirtualna Mapa Krakowa Lamusownia Kraków DVB-T2 TeamViewer 13.0 Fifa 2018 Trasy rowerowe Pro Evolution Soccer 2018 Mozilla Firefox Pity 2017 Rakiety NSM Windows 8 Sony Xperia Tablet S LEXNET Samsung Galaxy S9 Dworzec Główny Kraków PKP Windows Phone Windows 10 Microsoft Lumia 950

O tym, że w systemie Android odnaleziono jakąś lukę słyszy się średnio dwa-trzy razy w tygodniu i nikogo to już raczej nie dziwi. Rzadko kiedy jednak mowa o czymś tak dotkliwym jak możliwość przejęcia przez przestępcę całkowitej kontroli nad aparatem.

Sprawa dotyczy telefonów tworzonych bezpośrednio przez Google'a, z serii Pixel, jak również urządzeń marki Samsung. Odkrytą podatność oznaczono ciągiem CVE-2019-2234.

Badacze z firmy Checkmarx, który wykryli zagrożenie, nie chcą ujawniać dokładnych szczegółów ataku. Tłumaczą tylko dość ogólnikowo, że "manipulując konkretnymi funkcjami i uprawnieniami, napastnik może przejąć kontrolę nad aplikacją aparatu, aby wykonać zdjęcie lub nagrać film". Jak czytamy w raporcie, nie jest w tym celu wymagana żadna zgoda ze strony użytkownika urządzenia. Szkodliwy kod potrafi samodzielnie przełamać system uprawnień.

Ponadto, ta sama luka pozwala ponoć na uzyskanie dostępu do wcześniej wykonanych zdjęć i wideo, bazując wyłącznie na uprawnieniu do zapisu danych w pamięci smartfonu, które takiej możliwości teoretycznie nie gwarantuje. W rezultacie potencjalny napastnik zyskuje bardzo niebezpieczne narzędzie. Może nie tylko sfotografować lub nagrać ofiarę, ale także ustalić chociażby jej położenie, analizując zapisywane w plikach obrazu metadane GPS.
Prognoza pogody z niespodzianką

Aby unaocznić problem, sfabrykowano pewną aplikację pogodową, dodając do niej szkodliwy kod i wiążąc z serwerem wydawania rozkazów (C&C). Według przedstawionej relacji, specjalistom udało się w ten sposób:

Zrobić zdjęcie i nagrać film, po czym przesłać na własny serwer.
Pobrać tagi GPS ze zdjęć znajdujących się w pamięci, pochodzących z ostatnich dni, by w ten sposób zlokalizować telefon.
Wyciszyć smartfon przed zrobieniem zdjęcia, aby ofiara nie usłyszała dźwięku migawki.
Zsynchronizować nagrywanie z połączeniem głosowym i zarejestrować wideo z głosem podczas rozmowy.

Według badaczy, Google i Samsung zostały poinformowane o odkryciu na przełomie lipca i sierpnia 2019, a na dzień 19 listopada były już dostępne aktualizacje eliminujące błąd.

Niniejszy nowinka pełni więc przede wszystkim rolę informacyjną, choć posiadając sprzęt Google'a lub Samsunga, należy bezwzględnie pamiętać o przeprowadzeniu aktualizacji aplikacji aparatu.

źródło: dobreprogramy

Jeśli chcesz otrzymywać wyczerpujące informacje z serwisu MRT Net, zaprenumeruj nasz Newsletter