Android-kamera säkerhetshot, avslöjat och sedan adresserat, hade spion sårbarheter. Dessa fixades av Google och Samsung med en patch som rullades ut för Pixel- och Samsung-enheter. De senaste rubrikerna kring bristerna på Android-enheter retade en obehaglig tanke i den senaste av många obehagliga tankar om säkerhetsrisker i Androids ekosystem.

Föreställ dig att din app spelar in video och tar bilder utan din tillåtelse.

Kortfattat, angripare kan kapa din telefonkamera. Dan Goodin in Ars Technica :Det här handlade om "en app behövde inga behörigheter alls för att få kameran att ta bilder och spela in video och ljud."

Vad händer om din telefon var låst? De kunde fortfarande göra det. Vad händer om skärmen var avstängd? De kunde fortfarande göra det.

På tisdag, Erez Yalon, chef för säkerhetsforskning på Checkmarx, öppnade upp om buggarna, deras lags attackstrategi, och de sårbarheter de upptäckte (CVE-2019-2234).

Under tiden, Säkerhetsfrågor på tisdagen presenterade numret för sina läsare, säger att cybersäkerhetsexperter från Checkmarx upptäckte flera sårbarheter i Android-kameraapparna från Google och Samsung och dessa kunde ha utnyttjats av hackare för att spionera på hundratals miljoner användare.

"Sårbarheterna spåras kollektivt som CVE-2019-2234, angripare kan utnyttja dem för att utföra flera aktiviteter, inklusive inspelning av videor, ta foton, spela in röstsamtal, spåra användarens plats."

När det gäller Checkmarx-bloggen, Yalon beskrev vägen till upptäckt. "För att bättre förstå hur smartphonekameror kan öppna användarna för integritetsrisker, Checkmarx säkerhetsforskningsteam slog in i själva applikationerna som styr dessa kameror för att identifiera potentiella missbruksscenarier. Teamet har en Google Pixel 2 XL och Pixel 3 till hands, slutligen hitta flera angående sårbarheter som härrör från "problem med förbikoppling av tillstånd."

Teamet testade båda versionerna av Pixel (2 XL / 3) i sina labb. Teamet levererade en proof-of-concept (PoC) video och en teknisk rapport. Videoanteckningar sa "Checkmarx Security Research Team demonstrerar hur man utnyttjar sårbarheter som finns i Googles kameraapplikation, tvingar enheten att ta bilder, videoklipp, och avlyssna utan användarens vetskap."

Yalon sa att resultaten delades med Google, Samsung och andra Android-baserade smartphone OEMs.

Tidslinje från ZDNet :Google informerades om forskarnas resultat den 4 juli. Google registrerade CVE och bekräftade att andra leverantörer påverkades. En fix släpptes. Det säger Google i ett uttalande. "Problemet åtgärdades på berörda Google-enheter via en Play Store-uppdatering av Google Camera Application i juli 2019. En patch har också gjorts tillgänglig för alla partners."

En talesperson för Samsung berättade under tiden Business Insider företaget släppte också patchar för att lösa problemet.

Alfred Ng i CNET rapporterade det efter att Checkmarx informerat Google och Samsung om säkerhetsproblemet i juli. De två företagen berättade för Checkmarx att de fixade problemet i en uppdatering av Play Store samma månad. Dock, Ng lade till, "Medan patchen är tillgänglig, det är oklart om alla berörda enhetstillverkare har utfärdat korrigeringen."

Dan Goodin in Ars Technica hade en liknande försiktighet/ "Tills nyligen, svagheter i Android-kameraappar från Google och Samsung gjorde det möjligt för oseriösa appar att spela in video och ljud och ta bilder och sedan ladda upp dem till en angriparkontrollerad server – utan några tillstånd att göra det. Kameraappar från andra tillverkare kan fortfarande vara mottagliga."

Aaron Holmes , Business Insider , och Dan Goodin, Ars Technica, berättade för sina läsare vad de ska göra för att vara säkra, inte ledsen:kolla din Android-enhet, lätt och enkel, för att se om det är sårbart. De föreslog också sätt att kontrollera, om enheten som behövde kontrolleras varken var Pixel eller Samsuing, som Goodin noterade att "kameraappar från andra tillverkare fortfarande kan vara mottagliga."

© 2019 Science X Network