Mindent kifecseghetett az Android kamera appja

Nyilvánosságra kerültek az Android kamera appjának súlyos sérülékenységével kapcsolatos információk. Nem semmi egy hibáról van szó.
 

A Google a nyáron egy súlyos biztonsági rést foltozott be a beépített kamera alkalmazással összefüggésben. A magas veszélyességi besorolással ellátott sérülékenységről már akkor lehetett sejteni, hogy komoly kockázatot jelent, de valójában csak a napokban derült fény arra, hogy pontosan milyen veszélyei is vannak.
 
Kalandos történet
 
A sebezhetőséget a Checkmarx biztonsági kutatói fedezték fel, és jelezték azt július 4-én a Google illetékesei számára. A vállalat július 23-án ismerte el hivatalosan, hogy a biztonsági hiba valóban létezik, majd ki is adta a megfelelő hibajavításokat. Azonban ezzel nem ért véget a történet, ugyanis augusztusban kiderült, hogy a Samsung saját kamera appja is hasonló módon sérülékeny. Így aztán a Samsungnak is hibajavításra kellett adnia a fejét.
 
A kockázatok
 
A kamera app kapcsán feltárt sebezhetőség jól mutatja, hogy milyen fontos a mobil készülékek rendszeres frissítése. A sérülékenység ugyanis még most is nagyon komoly fegyvert jelenthet a kiberbűnőzők, adattolvajok kezében azon okostelefonok, táblagépek esetében, amelyek nem tartalmazzák a megfelelő hibajavításokat.
 
A Checkmarx beszámolója szerint a sérülékenység kihasználásával a különböző alkalmazásoknak nincs szükségük arra, hogy a kamerához, mikrofonhoz vagy éppen a helyinformációk lekérdezéséhez engedélyt kérjenek a felhasználótól. Elegendő mindössze az, hogy az adattárolóhoz (Storage engedély) hozzáféréssel rendelkezzenek. Ezt követően a biztonsági résen keresztül szabadon elkezdhetnek fényképezni, videót és/vagy hangot rögzíteni. Ráadásul mindezt akkor is megtehetik, amikor az okostelefon képernyője zárolt. Ezért aztán a kémkedés lehetőségét sem lehet kizárni.
 
További kockázatot jelent, hogy a sebezhetőség miatt az okostelefonra telepített alkalmazások helyinformációkkal kapcsolatos történeti adatokat is gyűjthetnek (korábbi fényképek EXIF-adataiból), amiket aztán feltölthetnek távoli kiszolgálókra. Egy ilyen szimulált támadásról a Checkmarx egy videót is közzétett:

 
Mivel a hiba több millió vagy akár több százmillió mobil készüléket érinthet, ezért nem zárható ki, hogy a kiberbűnözők komolyabb erőforrásokat is megmozgatnak majd, hogy kiaknázzák a hibában számukra rejlő lehetőségeket. Így aztán különösen fontos a mobilok frissítése.
Vélemények
 
  1. 4

    Az Apple Safari legújabb verziója négy biztonsági rést segít befoltozni.

  2. 4

    Az Apple iOS és az iPadOS 14-es kiadása biztonsági hibajavításokkal is szolgál.

  3. 2

    ​A WastedLocker zsaroló program nagy felfordulást képest okozni a számítógépeken, és biztonsági mentések hiányában akár helyreállíthatatlan károkat is előidézhet.

 
Partnerhírek
​Az ESET kutatói felfedezték a KryptoCibule-t

Egy korábban nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet annak érdekében, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül.

Hogyan tehetjük biztonságosabbá a TikTok fiókunkat?

​A TikTok három évvel ezelőtt robbant be a köztudatba, azóta pedig töretlen népszerűségnek örvend, hiszen mára a második legnépszerűbb social média platformmá nőtte ki magát.

hirdetés
Közösség