Приложения под Android оказались способны пользоваться камерой смартфона без разрешения

Некоторые стандартные команды во многих Android-смартфонах позволяли приложениям запускать приложение камеры и управлять им, не запрашивая на это разрешение пользователя, выяснили исследователи в области информационной безопасности из компании Checkmarx. Компания сообщила об этом Google и Samsung еще несколько месяцев назад, поэтому эти производители уже успели исправить уязвимость. Статья с описанием исследования опубликована на сайте Chechmarx.

Приложения в Android могут запрашивать у системы доступ к некоторым функциям через стандартные API, причем для части функций система просит пользователя предоставить доступ приложению. Например, если приложение запрашивает доступ к камере или функциям сотовой связи, система сначала спрашивает разрешение у владельца.

Кроме системы разрешений в Android также есть подсистема для общения приложений между собой. Например, некоторые приложения указывают координаты места на карте в виде ссылки, нажав на которую, пользователь попадает в стандартное приложение карт. За этим процессом стоит запрос действия через объект Intent. При этом указания на действия могут быть неявными, и в таком случае система сама выбирает приложения, подходящие под запрос, а бывают явными с указанием конкретного приложения и действия.

Исследователи из компании Checkmarx выяснили, что стандартные приложения камеры в смартфонах Google и Samsung позволяют сторонним приложениям вызывать фото- или видео-съемку, независимо от того, есть ли у такого приложения разрешение на доступ к камере. После того, как приложение отправило такой запрос, запускается приложение камеры. В нем можно с помощью набора команд делать фото или видео, а также ставить таймер съемки или выбирать, какую из камер использовать.

Саму по себе эту уязвимость сложно назвать полезной, однако исследователи отмечают, что злоумышленники могут использовать ее вместе с другими возможностями системы. Например, многие приложения в Google Play запрашивают доступ к хранилищу, и пользователи привыкли давать их, не задумываясь о том, зачем программе такой доступ. Получив это разрешение, вредоносное приложение может передавать снятые фотографии на свой сервер, а если у пользователя в настройках камеры включена запись местоположения во время съемки, таким образом оно может отслеживать нахождение человека.

Кроме того, исследователи показали, что работу вредоносного приложения можно скрыть, если оно будет отслеживать состояние датчика приближения и запускать съемку только тогда, когда смартфон приложен к уху во время разговора или лежит экраном на столе.

Исследователи отправили информацию об уязвимости в команду безопасности Android в Google в начале июля, после чего Google и Samsung исправили уязвимости и в ноябре разрешили раскрыть информацию. Однако Google также рассказала, что оповестила другие компании, поэтому, вероятно, уязвимость затронула и смартфоны других производителей.

Недавно специалисты из Google обнаружили сайты, которые на протяжении как минимум двух лет использовали неизвестные критические уязвимости в iOS. После того, как пользователь заходил на сайт через браузер, на его смартфон устанавливалось вредоносное приложение, получающее права суперпользователя, и передающее злоумышленникам пароли, фотографии и другую конфиденциальную информацию.

Григорий Копиев