Gyurkity Péter

Biztonsági rés az androidos kamera

A rés készülékek százmillióit érintheti, ezeken képeket és videókat rögzíthetnek tudtunk nélkül.

Igencsak érdekes közleményt adott ki a Checkmarx nevű biztonsági cég, amelyben az androidos készülékek százmillióit érintő sebezhetőségre hívják fel a figyelmet. Saját tesztjeik alapján azt állítják, hogy a kamera-alkalmazáson keresztül illetéktelenek gyakorlatilag bármikor képeket és videókat rögzíthetnek, ezeket pedig saját szervereikre továbbíthatják.

A részletes magyarázatból kiderül, hogy bár eleinte a Pixel 2 XL és Pixel 3 okostelefonokon végezték el a házon belüli teszteket, a sebezhetőség nemcsak ezen készülékeket érinti. Ezt a Google később maga is megerősítette, így megtudhattuk, hogy a Samsung saját megoldásai sincsenek biztonságban, az alapértelmezett Camera app mellett ugyanis (többek között) a Samsung Camera alkalmazás is érintett, a Google pedig magyarázatként annyit fűzött ehhez hozzá, hogy a tágabb értelemben vett androidos ökoszisztémában rejtőzik a hiba. A támadók által kifejlesztett platform két részből áll, itt szükség van egy kártékony appra, amely a készülékre telepítve felveszi a kapcsolatot a szerverrel, majd pedig (a hozzáférési jogosultságokat, pontosabban az azokat kezelő rendszert megkerülve) hozzáfér a kamerákhoz, illetve az ezeken keresztül rögzített tartalmakhoz.

A tesztek során a résen keresztül bármikor képeket és videókat készíthettek a megtámadott készüléken, az állományokat pedig a felhasználó tudta nélkül továbbították a kijelölt szerverre. A lokációs szolgáltatások engedélyezése, illetve a kamera ezekhez való hozzáférése esetén ezen adatokat is eltulajdonították, mint ahogy a GPS-adatok mellékelése sem jelentett gondot – mindezt akár telefonhívás közben is megtehették. A Google gyorsan megköszönte a biztonsági cég jelzését, erre válaszként megjegyezték, hogy egy július Play Store-frissítésen keresztül már javították a hibát, a szükséges kódot pedig megküldték partnereiknek, ez azonban természetesen önmagában még nem garancia arra, hogy minden érintett készüléken meg is található a szükséges frissítés.

A rés (amely sok kormányzati ügynökség nedves álmának is minősül) tehát továbbra is jelen van, itt mindenképpen ajánlott az elérhető szoftveres frissítések mielőbbi telepítése.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Zoliz #5
    Nem kell a világhálóra menni mobillal és a kamerázás megoldva. Nem vicc.
  • wraithLord #4
    A rés készülékek százmillióit érintheti, ezeken képeket és videókat rögzíthetnek tudtunk nélkül.

    Miért eddig nem ez volt? Igaz, abba beleegyezik az ember, mikor "elfogadja" az EULA-t. :D :D
  • M2 #3
    "Play Store-frissítésen keresztül már javították a _hibát_"

    Teljesen hiba, szerintem ebben a Google elég kompetens ahhoz, hogy elfogadjuk.
  • kvp #2
    Ez nem teljesen hiba hanem egy feature. Arra alapoz, hogy a kamera alkalmazassal lehet fotozni es azt barmelyik program tudja tavvezerelni intent-eken at. Fotot viszont nem kap, de ha a kamera alkmazas a kozos storage-ba ment, akkor azt barmelyik fotok es videok joggal rendelkezo alkalmazas vissza tudja olvasni. Egy videobol meg a hanghivasok tartalma is kinyerheto.

    Viszont egy jo ideje irni mar nem tudnak oda az alkalmazasok, igy torolni se tudnak. A felhasznalok igy lathatjak az elkeszult kepeket es videokat a galleriajukban. Persze csak utolag, de akkor is kiderul.

    A harmadik, hogy ehhez fent kell lennie a tamado programnak a keszuleken. Onnantol meg van egyszerubb es kevesbe feltuno modja is a felvetel keszitesnek. (Lasd a facebook app gorgetes kozben a kijelzo oldali kameraval keszitett kepeit.)
  • M2 #1
    Ez egy elég durva biztonsági hiba, hogy lehet, hogy még nincs vele tele a net?

    Különösen szívás ez a régi készülékek tulajdonosainak, akiknél már nem elérhető a frissítés.