Gyurkity Péter
Biztonsági rés az androidos kamera
A rés készülékek százmillióit érintheti, ezeken képeket és videókat rögzíthetnek tudtunk nélkül.
Igencsak érdekes közleményt adott ki a Checkmarx nevű biztonsági cég, amelyben az androidos készülékek százmillióit érintő sebezhetőségre hívják fel a figyelmet. Saját tesztjeik alapján azt állítják, hogy a kamera-alkalmazáson keresztül illetéktelenek gyakorlatilag bármikor képeket és videókat rögzíthetnek, ezeket pedig saját szervereikre továbbíthatják.
A részletes magyarázatból kiderül, hogy bár eleinte a Pixel 2 XL és Pixel 3 okostelefonokon végezték el a házon belüli teszteket, a sebezhetőség nemcsak ezen készülékeket érinti. Ezt a Google később maga is megerősítette, így megtudhattuk, hogy a Samsung saját megoldásai sincsenek biztonságban, az alapértelmezett Camera app mellett ugyanis (többek között) a Samsung Camera alkalmazás is érintett, a Google pedig magyarázatként annyit fűzött ehhez hozzá, hogy a tágabb értelemben vett androidos ökoszisztémában rejtőzik a hiba. A támadók által kifejlesztett platform két részből áll, itt szükség van egy kártékony appra, amely a készülékre telepítve felveszi a kapcsolatot a szerverrel, majd pedig (a hozzáférési jogosultságokat, pontosabban az azokat kezelő rendszert megkerülve) hozzáfér a kamerákhoz, illetve az ezeken keresztül rögzített tartalmakhoz.
A tesztek során a résen keresztül bármikor képeket és videókat készíthettek a megtámadott készüléken, az állományokat pedig a felhasználó tudta nélkül továbbították a kijelölt szerverre. A lokációs szolgáltatások engedélyezése, illetve a kamera ezekhez való hozzáférése esetén ezen adatokat is eltulajdonították, mint ahogy a GPS-adatok mellékelése sem jelentett gondot – mindezt akár telefonhívás közben is megtehették. A Google gyorsan megköszönte a biztonsági cég jelzését, erre válaszként megjegyezték, hogy egy július Play Store-frissítésen keresztül már javították a hibát, a szükséges kódot pedig megküldték partnereiknek, ez azonban természetesen önmagában még nem garancia arra, hogy minden érintett készüléken meg is található a szükséges frissítés.
A rés (amely sok kormányzati ügynökség nedves álmának is minősül) tehát továbbra is jelen van, itt mindenképpen ajánlott az elérhető szoftveres frissítések mielőbbi telepítése.
Igencsak érdekes közleményt adott ki a Checkmarx nevű biztonsági cég, amelyben az androidos készülékek százmillióit érintő sebezhetőségre hívják fel a figyelmet. Saját tesztjeik alapján azt állítják, hogy a kamera-alkalmazáson keresztül illetéktelenek gyakorlatilag bármikor képeket és videókat rögzíthetnek, ezeket pedig saját szervereikre továbbíthatják.
A részletes magyarázatból kiderül, hogy bár eleinte a Pixel 2 XL és Pixel 3 okostelefonokon végezték el a házon belüli teszteket, a sebezhetőség nemcsak ezen készülékeket érinti. Ezt a Google később maga is megerősítette, így megtudhattuk, hogy a Samsung saját megoldásai sincsenek biztonságban, az alapértelmezett Camera app mellett ugyanis (többek között) a Samsung Camera alkalmazás is érintett, a Google pedig magyarázatként annyit fűzött ehhez hozzá, hogy a tágabb értelemben vett androidos ökoszisztémában rejtőzik a hiba. A támadók által kifejlesztett platform két részből áll, itt szükség van egy kártékony appra, amely a készülékre telepítve felveszi a kapcsolatot a szerverrel, majd pedig (a hozzáférési jogosultságokat, pontosabban az azokat kezelő rendszert megkerülve) hozzáfér a kamerákhoz, illetve az ezeken keresztül rögzített tartalmakhoz.
A tesztek során a résen keresztül bármikor képeket és videókat készíthettek a megtámadott készüléken, az állományokat pedig a felhasználó tudta nélkül továbbították a kijelölt szerverre. A lokációs szolgáltatások engedélyezése, illetve a kamera ezekhez való hozzáférése esetén ezen adatokat is eltulajdonították, mint ahogy a GPS-adatok mellékelése sem jelentett gondot – mindezt akár telefonhívás közben is megtehették. A Google gyorsan megköszönte a biztonsági cég jelzését, erre válaszként megjegyezték, hogy egy július Play Store-frissítésen keresztül már javították a hibát, a szükséges kódot pedig megküldték partnereiknek, ez azonban természetesen önmagában még nem garancia arra, hogy minden érintett készüléken meg is található a szükséges frissítés.
A rés (amely sok kormányzati ügynökség nedves álmának is minősül) tehát továbbra is jelen van, itt mindenképpen ajánlott az elérhető szoftveres frissítések mielőbbi telepítése.