Společnost Checkmarx, která se dlouhodobě zabývá problematikou kyberbezpečnosti, narazila na závažnou bezpečností chybu v operačním systému Android. Ta umožňuje útočníkům převzít kontrolu nad fotoaparátem, nahrávat telefonní hovory nebo lokalizovat zařízení (a uživatele) pomocí údajů z GPS.
The Checkmarx security #research team found multiple alarming #vulnerabilities that could turn your #Google or #Samsung #smartphone into an eavesdropping device. More: https://t.co/vHe4C6e3VT pic.twitter.com/SvBb6K9GZS
— Checkmarx (@Checkmarx) November 19, 2019
Nebezpečnou chybu jako první opravil Google u svých referenčních smartphonů Pixel, přičemž tak stihl učinit již v červenci. Později se pochlubil odstraněním tohoto bezpečnostního rizika také Samsung, který předtím 29. srpna přiznal, že tato bezpečnostní chyba ohrožuje i jeho zařízení.
Odborníci z Checkmarx přitom nahlásili chybu 4. července letošního roku. Týden na to Google označil chybu s názvem CVE-2019-2234 pouze za mírně závažnou. O pár dní později, konkrétně 23. července, však již považoval bezpečnostní riziko za vysoké.
Zákeřnost tohoto bezpečnostního rizika spočívá v tom, že infikovaná aplikace nevyžaduje nijak podezřelá oprávnění k přístupu. Jediné přístupové právo, o nějž požádá, je přístup k úložišti, který patří mezi ty naprosto nejzákladnější. Odborníci v Checkmarx sami důkladně otestovali, jak celý mechanismus funguje. Za vyžití takzvaných C&C serverů („command-and-control“) se jim povedlo nahrávat videa, pořizovat fotografie, zaznamenávat telefonní rozhovory nebo získat informace o místě výskytu uživatele postiženého zařízení. S napadeným telefonem bylo možné:
- Pořizovat fotografie, natáčet videa, a to i když byl telefon zamknutý s vypnutou obrazovkou a uspanou aplikací fotoaparátu
- Získávat GPS data zaznamenaná u souborů fotografií a videí uložených v telefonu
- Odposlouchávat a nahrávat účastníky telefonních hovorů a během toho zároveň natáčet videa okolí či pořizovat snímky
- Vypnout zvuk závěrky u fotoaparátu
- Přenášet fotografie nebo videa uložená v telefonu na server útočníka
- Vyhledat a stáhnout jakýkoli JPG nebo MP4 soubor uložený na paměťové kartě
Jedinou útěchou nám může být, že Checkmarx údajně odhalil tuto bezpečnostní chybu dříve, než byla někým zneužita. Pixely od Googlu stejně jako smartphony od Samsungu by měly mít již opraveno. Nezbývá tak než doufat, že se tomu tak stalo i u ostatních výrobců.
