Android-sårbarheter

Se video: Slik kan hackere ta opp video på Android-mobilen din uten at du vet det

Se video: Slik kan hackere ta opp video på Android-mobilen din uten at du vet det
(Foto: Checkmarx)

Blant andre nettsted Bleeping Computer rapporterer nå at det er funnet en sårbarhet i Android som kan la applikasjoner ta opp video og ta bilder med mobilen uten brukerens viten eller samtykke, også når mobilen er låst.

Sårbarheten omtales av sikkerhetsselskapet Checkmarx og ligger i kamera-appen i Android. Forskerne oppdaget etter analyser at det er mulig for en angriper å kontrollere kamera-appen til å ta bilder eller ta opp video via andre, ondsinnede apper på mobilen.

Rammer Samsung-mobiler

Sikkerhetshullet, som spores som CVE-2019-2234, ble først avdekket på Googles egne Pixel 2 XL- og Pixel 3-mobiler, men den rammer også Samsungs mobiltelefoner. Både Samsung og Google har bekreftet sårbarheten, og ifølge Google har den allerede blitt fikset i en oppdatering via Google Play Store.

Problemet henger sammen med tillatelsessystemet til Android-appene, nærmere bestemt lagringstillatelsen. Som sikkerhetsforskerne peker på er lagringstillatelser veldig brede og gir i utgangspunktet tilgang til hele SD-kortet.

Ved å lage en ondsinnet applikasjon med SD-korttilgang er det mulig å både få tilgang til lagrede bilder og video, men også mulig å «tvinge» fotoappen til å ta nye bilder og videoinnhold og gi angriperen tilgang til disse.

Videodemonstrasjon

Siden den eneste tillatelsen som kreves fra brukerens side for å utnytte sårbarheten til lagringstillatelsen vil en angriper enkelt kunne unngå mistanke, da dette er en utbredt standardtillatelse som svært mange apper ber om.

Sikkerhetsforskere demonstrerte sikkerhetsfeilen i en video, hvor en tilsynelatende uskyldig vær-applikasjon brukes til å opprette en «command and control»-forbindelse med angriperen. Denne forbindelsen opprettholdes selv når appen er lukket og mobilen er låst.

I tillegg til bilder og video kan angriperen også få tilgang til GPS-informasjon fra mobilen via enkle kommandoer.

Hele rapporten til Checkmarx kan lastes ned her (krever registrering).

Les også: Facebook-appen til iPhone kan slå på kameraet i bakgrunnen uten at du vet det »

Kommentarer (0)

Kommentarer (0)
Til toppen