Mindent kifecseghetett az Android kamera appja

Szerző: Biztonságportál | Utolsó módosítás: 2019.11.20.
Nyilvánosságra kerültek az Android kamera appjának súlyos sérülékenységével kapcsolatos információk. Nem semmi egy hibáról van szó.
 

A Google a nyáron egy súlyos biztonsági rést foltozott be a beépített kamera alkalmazással összefüggésben. A magas veszélyességi besorolással ellátott sérülékenységről már akkor lehetett sejteni, hogy komoly kockázatot jelent, de valójában csak a napokban derült fény arra, hogy pontosan milyen veszélyei is vannak.
 
Kalandos történet
 
A sebezhetőséget a Checkmarx biztonsági kutatói fedezték fel, és jelezték azt július 4-én a Google illetékesei számára. A vállalat július 23-án ismerte el hivatalosan, hogy a biztonsági hiba valóban létezik, majd ki is adta a megfelelő hibajavításokat. Azonban ezzel nem ért véget a történet, ugyanis augusztusban kiderült, hogy a Samsung saját kamera appja is hasonló módon sérülékeny. Így aztán a Samsungnak is hibajavításra kellett adnia a fejét.
 
A kockázatok
 
A kamera app kapcsán feltárt sebezhetőség jól mutatja, hogy milyen fontos a mobil készülékek rendszeres frissítése. A sérülékenység ugyanis még most is nagyon komoly fegyvert jelenthet a kiberbűnőzők, adattolvajok kezében azon okostelefonok, táblagépek esetében, amelyek nem tartalmazzák a megfelelő hibajavításokat.
 
A Checkmarx beszámolója szerint a sérülékenység kihasználásával a különböző alkalmazásoknak nincs szükségük arra, hogy a kamerához, mikrofonhoz vagy éppen a helyinformációk lekérdezéséhez engedélyt kérjenek a felhasználótól. Elegendő mindössze az, hogy az adattárolóhoz (Storage engedély) hozzáféréssel rendelkezzenek. Ezt követően a biztonsági résen keresztül szabadon elkezdhetnek fényképezni, videót és/vagy hangot rögzíteni. Ráadásul mindezt akkor is megtehetik, amikor az okostelefon képernyője zárolt. Ezért aztán a kémkedés lehetőségét sem lehet kizárni.
 
További kockázatot jelent, hogy a sebezhetőség miatt az okostelefonra telepített alkalmazások helyinformációkkal kapcsolatos történeti adatokat is gyűjthetnek (korábbi fényképek EXIF-adataiból), amiket aztán feltölthetnek távoli kiszolgálókra. Egy ilyen szimulált támadásról a Checkmarx egy videót is közzétett:

 
Mivel a hiba több millió vagy akár több százmillió mobil készüléket érinthet, ezért nem zárható ki, hogy a kiberbűnözők komolyabb erőforrásokat is megmozgatnak majd, hogy kiaknázzák a hibában számukra rejlő lehetőségeket. Így aztán különösen fontos a mobilok frissítése.
További hírek
Vélemények
 
Riasztások
  1. 4
    Citrix ADC sebezhetőség

    A Citrix elérhetővé tette az Application Delivery Controller, illetve a Citrix Gateway legújabb hibajavítását.

  2. 1
    Anchor.A

    Az Anchor.A trójai elsősorban azzal tud problémákat okozni, hogy egyéb károkozókat juttat fel a számítógépekre.

  3. 4
    Symantec biztonsági figyelmeztetés

    A Symantec négy biztonsági résről számolt be egyes hálózatbiztonsági termékeinek kapcsán.

 
Partnerhírek
iPhone és adathalászat

A most bemutatott eset úgy kezdődött, hogy egy felhasználó kapott egy sms-t, amely értesítette arról, hogy elveszített iPhone X készüléke milyen címen található. Az üzenetben egy link is volt, amelyre kattintva elvileg meg lehetett tekinteni a készülék helyét – a gyakorlatban viszont egy adathalász oldalhoz tartozott, amely ellopta a látogatók iCloud azonosítóit.

A kkv-ken keresztül támadják a nagyvállalatokat a kiberbűnözők

A kis- és középvállalatok jelentik a legnagyobb rizikót az IT biztonság terén, így nem meglepő, hogy a számítógépes bűnözők is egyre inkább őket támadják, nem utolsósorban azért, hogy rajtuk keresztül eljussanak a nagyobb vállalatokig.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

SHOP

Információk, szállítás, fizetés
Terméktámogatási információk

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!
1