Mindent kifecseghetett az Android kamera appja

Nyilvánosságra kerültek az Android kamera appjának súlyos sérülékenységével kapcsolatos információk. Nem semmi egy hibáról van szó.
 

A Google a nyáron egy súlyos biztonsági rést foltozott be a beépített kamera alkalmazással összefüggésben. A magas veszélyességi besorolással ellátott sérülékenységről már akkor lehetett sejteni, hogy komoly kockázatot jelent, de valójában csak a napokban derült fény arra, hogy pontosan milyen veszélyei is vannak.
 
Kalandos történet
 
A sebezhetőséget a Checkmarx biztonsági kutatói fedezték fel, és jelezték azt július 4-én a Google illetékesei számára. A vállalat július 23-án ismerte el hivatalosan, hogy a biztonsági hiba valóban létezik, majd ki is adta a megfelelő hibajavításokat. Azonban ezzel nem ért véget a történet, ugyanis augusztusban kiderült, hogy a Samsung saját kamera appja is hasonló módon sérülékeny. Így aztán a Samsungnak is hibajavításra kellett adnia a fejét.
 
A kockázatok
 
A kamera app kapcsán feltárt sebezhetőség jól mutatja, hogy milyen fontos a mobil készülékek rendszeres frissítése. A sérülékenység ugyanis még most is nagyon komoly fegyvert jelenthet a kiberbűnőzők, adattolvajok kezében azon okostelefonok, táblagépek esetében, amelyek nem tartalmazzák a megfelelő hibajavításokat.
 
A Checkmarx beszámolója szerint a sérülékenység kihasználásával a különböző alkalmazásoknak nincs szükségük arra, hogy a kamerához, mikrofonhoz vagy éppen a helyinformációk lekérdezéséhez engedélyt kérjenek a felhasználótól. Elegendő mindössze az, hogy az adattárolóhoz (Storage engedély) hozzáféréssel rendelkezzenek. Ezt követően a biztonsági résen keresztül szabadon elkezdhetnek fényképezni, videót és/vagy hangot rögzíteni. Ráadásul mindezt akkor is megtehetik, amikor az okostelefon képernyője zárolt. Ezért aztán a kémkedés lehetőségét sem lehet kizárni.
 
További kockázatot jelent, hogy a sebezhetőség miatt az okostelefonra telepített alkalmazások helyinformációkkal kapcsolatos történeti adatokat is gyűjthetnek (korábbi fényképek EXIF-adataiból), amiket aztán feltölthetnek távoli kiszolgálókra. Egy ilyen szimulált támadásról a Checkmarx egy videót is közzétett:

 
Mivel a hiba több millió vagy akár több százmillió mobil készüléket érinthet, ezért nem zárható ki, hogy a kiberbűnözők komolyabb erőforrásokat is megmozgatnak majd, hogy kiaknázzák a hibában számukra rejlő lehetőségeket. Így aztán különösen fontos a mobilok frissítése.
Vélemények
 
  1. 4

    A Visual Studio kritikus fontosságú hibajavításokhoz jutott hozzá.

  2. 4

    Az Adobe 21 biztonsági rést foltozott be a PDF-kezelő alkalmazásain.

  3. 2

    ​A Maze zsaroló program is fájlok titkosítását követően kezdi követelni a felhasználóktól a váltságdíjat.

 
Partnerhírek
Árnyék informatika: így törték fel a NASA laboratóriumát

Hihetetlen, de igaz – az amerikai űrügynökség laboratóriumánál közel egy évig nem vették észre, hogy valaki behatolt a belső hálózatba. A történetben fontos szerepet játszik az úgynevezett árnyék informatika is: a betörők egy olyan miniszámítógépen keresztül jutottak be a hálózatba, melynek létezéséről az IT osztály nem is tudott.

Akár 1,5 millió dollárt fizet a Google egy biztonsági hibáért

Az Apple után a Google is komolyra emelte a tétet a hibavadász programjában, ahol akár 1,5 millió dolláros jutalom ütheti a markát annak, aki a biztonsági hibát fedez fel a Titan M chipben. Persze ehhez kell némi (nagyon sok) szaktudás.

hirdetés
Közösség
1