Die Kamera-Apps von Google- und Samsung-Handys sind schwerwiegenden Sicherheitslücken ausgesetzt, die von Hackern genutzt werden könnten, um Hunderte Millionen Nutzer auszuspionieren. Durch die Schwachstelle können Hacker das Telefon des Opfers verwenden, um Fotos, Videos und Sprachanrufe aufzunehmen und sogar den Standort des Benutzers zu verfolgen. Ist das Telefon noch sicher? Kommen Sie in den Xinzhiyuan AI-Freundeskreis, um mit AI-Prominenten zu diskutieren. Möglicherweise werden Sie die ganze Zeit beobachtet, ohne zu wissen, wer zusieht.
Kameras wurden von einem Add-on für ein Telefon zu einer Möglichkeit, das Leben zu dokumentieren, aufgerüstet. Mit Blick auf den goldenen Ginkgo-Wald, den ersten Schnee auf den Ästen und das Hot-Pot-Treffen mit Freunden nehmen wir alle unsere Handys heraus, schalten die Kamera ein, um Fotos zu machen oder Vlogs aufzunehmen, die zu Kanälen geworden sind, die wir uns ansehen können. die Welt aufnehmen und ausdrücken.
Aber wenn Ihre Handykamera eingeschaltet war, um Ihr Leben zu überwachen, ohne dass Sie es überhaupt bemerken, könnte dies die moderne Truman-Welt sein.
Nun, dieses Wenn, gibt es eine kleine Möglichkeit, Wirklichkeit zu werden. Medienberichten zufolge hat das Sicherheitsforschungsteam von Checkmarx eine Schwachstelle in Android-Telefonen entdeckt: Angreifer können Android-Berechtigungen umgehen, indem sie auf den Speicherplatz des Telefons zugreifen, und das Telefon fernsteuern, um ohne Zustimmung des Benutzers Fotos aufzunehmen und Videos aufzunehmen, Gespräche zu überwachen.
Hat das Forschungsteam wirklich eine Schwachstelle, wenn es sagt, dass es eine Schwachstelle gibt? Ist es alarmistisch? Werfen wir zunächst einen Blick darauf, was hinter dem Sicherheitsforschungsteam von Checkmarx steckt.
Checkmarx ist ein israelisches High-Tech-Softwareunternehmen und Hersteller von Checkmarx CxSuite, der weltweit bekanntesten Software zum Scannen von Quellcodes. Checkmarx wurde im Gartner Magic Quadrant 2019 für Application Security Testing als Leader nominiert, gewann den 2019 Infosec Award des Cyber Defense Magazine in der Kategorie Market Leader in Application Security und wurde als Application Security Solution of the Year ausgezeichnet.
Bekannte Medien wie „Good Morning America", „Consumer Reports" und „Fortune" berichteten über die hochmoderne Software-Schwachstellenforschung des Sicherheitsforschungsteams von Amazons Alexa, Tinder, LeapFrog LeapPad und anderen Produkten und erregten damit die Aufmerksamkeit der Branche.
Diesmal entdeckte das Sicherheitsforschungsteam von Checkmarx mehrere Schwachstellen in der Google Camera App (Google Camera) auf den Google Pixel 2XL- und Pixel 3-Telefonen aufgrund von Problemen, die es Angreifern ermöglichen, Benutzerberechtigungen zu umgehen. Darüber hinaus weist auch die Samsung-Kamera diese Schwachstelle auf.
Zuvor hatte das Forschungsteam auch offengelegt, dass Alexa und Tinder von Amazon dieses Problem haben. Allein angesichts der Reichweite von Google- und Samsung-Handys könnten diese Sicherheitslücken Hunderte Millionen Nutzer betreffen oder sie sogar bedrohen.
Die Schwachstelle mit dem Namen CVE-2019-2234 selbst ermöglicht es einer bösartigen Anwendung, aus der Ferne Eingaben von Kamera-, Mikrofon- und GPS-Standortdaten zu erhalten. Die Auswirkungen dieser Möglichkeit sind so schwerwiegend, dass das Android Open Source Project (AOSP) über einen dedizierten Satz von Berechtigungen verfügt, die jede App vom Benutzer anfordern und die Erlaubnis einholen muss, bevor sie solche Vorgänge aktivieren kann.
Die Forscher von Checkmarx haben ein Angriffsszenario erstellt, das die Google Camera App selbst missbraucht, um diese Berechtigungen zu umgehen. Dazu erstellten sie eine bösartige App, die eine der am häufigsten angeforderten Berechtigungen ausnutzt: den Speicherzugriff.
Die von der bösartigen App angeforderte Berechtigung ist nur „Speicherzugriff". Nehmen Sie nach Belieben neue Fotos und Videos auf."
Schädliche App initiiert im Hintergrund eine Videoaufzeichnung des Telefons
Schädliche App zeichnet Anrufe aus der Ferne auf
Wie könnten Angreifer Sicherheitslücken in der Google Kamera-App ausnutzen?
Checkmarx erstellte einen Proof-of-Concept (PoC)-Exploit, indem es eine bösartige Anwendung entwickelte. Dies ist eine Wetter-App, die im Google Play Store schon immer beliebt war. Abgesehen von grundlegenden Speicherzugriffsberechtigungen erfordert diese App keine besonderen Berechtigungen. Es ist unwahrscheinlich, dass die App den Benutzer alarmiert, da nur eine so einfache, gewöhnliche Erlaubnis angefordert werden muss. Schließlich sind die Leute daran gewöhnt, unnötige, umfassende Erlaubnisanfragen zu hinterfragen, nicht eine einzelne, allgemeine Erlaubnisanfrage.
Diese App ist jedoch alles andere als harmlos. Es besteht aus zwei Teilen, einer Client-Anwendung, die auf dem Smartphone läuft, und einem Command-and-Control-Server, der sich damit verbindet, um die Befehle des Angreifers auszuführen.
Sobald die Anwendung installiert und gestartet ist, stellt sie eine dauerhafte Verbindung zum Command-and-Control-Server her und wartet dann auf Anweisungen. Durch das Schließen der Anwendung wird die Serververbindung nicht beendet.
Welche Befehle kann ein Angreifer senden und welche Aktionen können daraus resultieren? Diese lange Liste könnte Sie schaudern lassen:
Die Informationen wurden in den letzten Tagen gemeinsam von Google und Samsung veröffentlicht, um sicherzustellen, dass beide Unternehmen Patches für die Schwachstelle veröffentlicht haben. Die Offenlegung der Schwachstelle begann jedoch am 4. Juli, als Checkmarx einen Schwachstellenbericht an das Android-Sicherheitsteam von Google übermittelte, das mit der Offenlegung hinter den Kulissen begann.
Am 13. Juli setzte Google den Schweregrad der Schwachstelle zunächst auf mittel, nach weiterem Feedback von Checkmarx wurde der Schweregrad jedoch am 23. Juli auf „hoch" herabgestuft.
Am 1. August bestätigte Google, dass die Schwachstellen das breitere Android-Ökosystem betrafen, wobei auch andere Smartphone-Hersteller betroffen waren, und veröffentlichte CVE-2019-2234.
Am 18. August kontaktierte Google mehrere Anbieter, am 29. August bestätigte Samsung, dass die Schwachstelle ihre Geräte betrifft.
Google antwortet mit bereitgestelltem Patch, Sicherheitsexperte: „Es ist einfach umwerfend"
Antwort von Google: Patch für alle Partner bereitgestellt
Nachdem er von den Medien kontaktiert worden war, sagte ein Sprecher: „Wir sind Checkmarx dankbar, dass er uns auf diese Schwachstelle aufmerksam gemacht und mit Partnern bei Google und Android zusammengearbeitet hat, um die Offenlegung zu koordinieren. Via Google Play Store-Veröffentlichung im Juli 2019. Ein Update für die Kamera app hat das Problem auf den betroffenen Google-Telefonen behoben. Wir haben den Patch auch allen Partnern zur Verfügung gestellt."
Die Offenlegung der Schwachstelle wurde jedoch verzögert, bis sowohl Google als auch Samsung Patches veröffentlichten. Wenn Sie also die neueste Version der Kamera-App haben, aktualisieren Sie unbedingt auf die neueste Version, um die Gefahr eines Angriffs zu vermeiden.
Aktualisieren Sie außerdem auf die neueste Version des Android-Betriebssystems, stellen Sie sicher, dass Ihr Telefon über die neuesten verfügbaren Sicherheitspatches verfügt, und empfehlen Sie die Verwendung der neuesten Version der Kamera-App für Ihr Gerät, um das Risiko zu verringern.
Was Sicherheitsexperten über die Schwere der Schwachstelle zu sagen haben und wie sie sich auf die allgemeine Smartphone-Sicherheit auswirken wird.
Thornton-Trump sagte: „Mir fiel die Kinnlade herunter, als ich diesen Bericht darüber las, wie anfällig die Kamera-App ist. Es hört sich nicht nach einem Bug an, sondern eher nach einer High-Level-Version mit voll ausgestatteter Spyware." Persistent Threat (APT)."
Tatsächlich bemerkte Thornton-Trump, dass Sicherheitsforscher, wenn sie schwarze Hüte wären, diese Forschung leicht für Hunderttausende von Dollar monetarisieren könnten. „Dank der hervorragenden Arbeit und Integrität der Forscher von Checkmarx sind alle Android-Nutzer jetzt sicherer", sagte er.
Thornton-Trump freute sich, dass Google bald einen Patch veröffentlichte, sagte aber, dass es aufgrund der Schwere und Breite der Schwachstelle „auch für Google an der Zeit ist, einige der Fähigkeiten von ‚Project Zero‘ tief in das Android-Betriebssystem selbst einfließen zu lassen."
„Es besteht kein Zweifel, dass die große Zahl der offengelegten Android-Schwachstellen der Marke Android schadet. Das jüngste Problem des ‚White Screen of Death‘ ist auch nicht gut für den Ruf des Unternehmens. Google muss mehr tun, um sicherzustellen, dass die Benutzer der Sicherheit und Vertraulichkeit vertrauen von Android-Geräten In der Zwischenzeit sollte jeder, der Schutz benötigt, sein System sofort aktualisieren", sagte er. "
