SIKKERHET

Se video: Slik kan hackere ta opp video på Android-mobilen din uten at du vet det

21. nov. 2019 - 16:43

Blant andre nettsted Bleeping Computer rapporterer nå at det er funnet en sårbarhet i Android som kan la applikasjoner ta opp video og ta bilder med mobilen uten brukerens viten eller samtykke, også når mobilen er låst.

Sårbarheten omtales av sikkerhetsselskapet Checkmarx og ligger i kamera-appen i Android. Forskerne oppdaget etter analyser at det er mulig for en angriper å kontrollere kamera-appen til å ta bilder eller ta opp video via andre, ondsinnede apper på mobilen.

Rammer Samsung-mobiler

Sikkerhetshullet, som spores som CVE-2019-2234, ble først avdekket på Googles egne Pixel 2 XL- og Pixel 3-mobiler, men den rammer også Samsungs mobiltelefoner. Både Samsung og Google har bekreftet sårbarheten, og ifølge Google har den allerede blitt fikset i en oppdatering via Google Play Store.

Problemet henger sammen med tillatelsessystemet til Android-appene, nærmere bestemt lagringstillatelsen. Som sikkerhetsforskerne peker på er lagringstillatelser veldig brede og gir i utgangspunktet tilgang til hele SD-kortet.

Ved å lage en ondsinnet applikasjon med SD-korttilgang er det mulig å både få tilgang til lagrede bilder og video, men også mulig å «tvinge» fotoappen til å ta nye bilder og videoinnhold og gi angriperen tilgang til disse.

Videodemonstrasjon

Siden den eneste tillatelsen som kreves fra brukerens side for å utnytte sårbarheten til lagringstillatelsen vil en angriper enkelt kunne unngå mistanke, da dette er en utbredt standardtillatelse som svært mange apper ber om.

Sikkerhetsforskere demonstrerte sikkerhetsfeilen i en video, hvor en tilsynelatende uskyldig vær-applikasjon brukes til å opprette en «command and control»-forbindelse med angriperen. Denne forbindelsen opprettholdes selv når appen er lukket og mobilen er låst.

I tillegg til bilder og video kan angriperen også få tilgang til GPS-informasjon fra mobilen via enkle kommandoer.

Hele rapporten til Checkmarx kan lastes ned her (krever registrering).

Les også: Facebook-appen til iPhone kan slå på kameraet i bakgrunnen uten at du vet det »

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra