Dziurawy Android pozwala hakerom przechwytywać rozmowy, zdjęcia i filmy wideo
-
- Janusz Chustecki,
- 21.11.2019, godz. 11:34
W zabezpieczeniach systemu operacyjnego Android odkryto kolejną niebezpieczną lukę. Jak nietrudno się domyśleć, pozwala ona hakerom włamywać się do smartfonów i tabletów, którymi zarządza ten system. Luka pozwala złośliwym aplikacjom oszukać oprogramowanie zarządzające systemami audio i wideo, a następnie przesyłać nagrany dźwięk czy filmy na zewnętrzne serwery, oczywiście bez wiedzy użytkownika urządzenia.
Luka została wykryta przez firmę Checkmarx kilka miesięcy temu, ale informacja o jej istnieniu pojawiła się w mediach dopiro kilka dni temu. Checkmarx opracował nawet aplikację proof-of-concep która udowadnia, że ataki wykorzystujące tę lukę kończą się powodzeniem.
Aplikacja może z łatwością ominąć wszystkie zabezpieczenia i bezkarnie uzyskiwać dostęp do systemów audio i wideo, a użytkownik nawet tego nie zauważa. Jest też w stanie przechwytywać metadane, takie jak lokalizacje GPS informujące hakera o tym, gdzie fizycznie dany film był nakręcony.
Zobacz również:
- Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
- Składane smartfony będą droższe, a zarazem tańsze
- Luka w zabezpieczeniach WordPress
Dwaj czołowi producenci urządzeń Android (Googel i Samsung) twierdzą, że zlikwidowały już tę podatność w produkowanych przez nie smartfonach i tabletach.
Google pracował np. stosowny update aktualizujący oprogramowanie Google Camera Application, który załatał skutecznie tę lukę. To samo zrobił Samsung. Jednak użytkownicy urządzeń wytwarzanych przez inne firmy powinni mieć świadomość tego, że mogą one być dalej podatne na takie ataki.
Jak jednak zabezpieczyć się przed takimi atakami. W przypadku urządzeń produkowanych przez firmy Google (Pixel) i Samsung należy instalować na bieżąco wszystkie poprawki aktualizujące obsługiwane przez nie aplikacje.
Jeśli posiadamy urządzenie firmy Google lub Samsung, wybieramy po kolej opcje Settings > Apps and Notifications > Camera > Advanced > App Details. Jeśli aplikacja była modyfikowana później niż w lipcu tego roku, jesteśmy bezpieczni.
Jeśli posiadamy urządzenie wyprodukowane przez inne firmy, warto odwiedzić tę witrynę opracowaną przez firmę Ars Technica i znajdujące się na niej takie polecenie.
$ adb shell am start-activity -n
com.google.android.GoogleCamera/com.android.camera.CameraActivity --ez
extra_turn_screen_on true -a android.media.action.VIDEO_CAMERA --ez
android.intent.extra.USE_FRONT_CAMERA true
Jeśli po wykonaniu tego polecenia smartfon nagrał film, nie jesteśmy bezpieczni.
