Глава відділу безпеки дослідницької компанії Checkmarx Ерез Ялон (Erez Yalon) розповів про знайдену уразливість в додатку «Камера» на пристроях Google і Samsung.

Про повідомляється у звіті на сайті компанії.

Помилка дозволяла додаткам без необхідних дозволів знімати фото і відео навіть на заблокованому пристрої, написав він. Уразливість виявили на смартфонах Pixel 2 XL і Pixel 3, а також на пристроях Samsung, але не сказали, на яких саме. Компанії, яких стосувалося дослідження, дозволили публікацію звіту і заявили про виправлення уразливості. Google також відправила виправлення своїм партнерам.

Дослідники розповіли, що уразливість дозволяла стороннім додаткам керувати камерою, не маючи на це дозволів. Зловмисники також могли отримати доступ до збережених на пристроях фото і робити нові знімки, навіть якщо телефон заблоковано або знаходиться в режимі голосового виклику. Уразливість дозволяла записувати під час розмови голоси обох співрозмовників і надавала доступ до GPS-міток. За допомогою цього зловмисники могли б відстежувати переміщення пристрою, вважають у Checkmarx.

Дослідники створили додаток для відстеження погоди, яке просило тільки один дозвіл — на доступ до пам'яті. Вони з'ясували, що закриття програми не обриває з'єднання з сервером, надаючи зловмисникам список всіх підключених пристроїв.

Вони також навели відповідь від компанії Google, де відреагували на результати дослідження. Там висловили вдячність дослідникам та заявили, що проблема вже вирішена на тих пристроях, де могло статися подібне.

«Ми вдячні, що Checkmarx звертає на це увагу та співпрацює з партнерами Google та Android для координації розкриття такої інформації. Проблема була вирішена на пристроях Google, які зазнали впливу, через оновлення Play Store до програми камери Google у липні 2019 року. Патч також зробили доступним для всіх партнерів», — цитують дослідники заяву Google.

Нагадаємо, раніше було знайдено критичну уразливість у Instagram.