| 0 |
|
Новая уязвимость была найдена в приложениях Camera, установленных по умолчанию на сотнях миллионов устройств Android. Получившая наименование CVE-2019-2234 она представляет опасность для аппаратов, на которых мобильные программы Google Camera и Samsung Camera не обновлялись с июля 2019 г.
Исследователи из фирмы Checkmarx в релизе, согласованном с Google и Samsung, сообщают, что эта недоработка позволяет другим приложениям записывать видео, делать фотоснимки и извлекать из медиа-файлов данные глобального позиционирования, даже если они не обладают требуемыми для таких действий разрешениями.
Проверка Checkmarx установила, что одного разрешения на пользования хранилищем (Storage) достаточно, чтобы обеспечить вредоносному приложению доступ ко всему содержимому SD-карте. При этом, продемонстрированная методология атаки позволяет не только для извлекать EXIF-данные из уже имеющихся на карте медиа-файлов, но также инициировать фото- и видеосъёмку приложением Camera.
Согласно отчёту Checkmarx, Storage является одним из наиболее часто запрашиваемых разрешений. Доступ к хранилищу требуется вполне легальным приложениям: играм, потоковым сервисам и даже программам, отображающим метеосводки.
Именно под метеоприложение маскируется созданный исследователями концептуальный прототип программы, который скрытно отсылает на демонстрационный командный сервер снимки, видео и записи телефонных разговоров.
Google была уведомлена об этом баге 4 июля 2019 года, а 23 июля она подняла рейтинг его серьёзности до уровня ”High”. В конце того же месяца компания закрыла уязвимость Google Camera обновлением в Google Play, а в начале августа подтвердила подозрения экспертов Checkmarx о том, что эта недоработка представляет опасности также для управляющих камерой приложений других разработчиков, и предложила им соответствующий патч.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
