SIKKERHET

Se video: Slik kan hackere ta opp video på Android-mobilen din uten at du vet det

21. nov. 2019 - 16:43

Blant andre nettsted Bleeping Computer rapporterer nå at det er funnet en sårbarhet i Android som kan la applikasjoner ta opp video og ta bilder med mobilen uten brukerens viten eller samtykke, også når mobilen er låst.

Sårbarheten omtales av sikkerhetsselskapet Checkmarx og ligger i kamera-appen i Android. Forskerne oppdaget etter analyser at det er mulig for en angriper å kontrollere kamera-appen til å ta bilder eller ta opp video via andre, ondsinnede apper på mobilen.

Rammer Samsung-mobiler

Sikkerhetshullet, som spores som CVE-2019-2234, ble først avdekket på Googles egne Pixel 2 XL- og Pixel 3-mobiler, men den rammer også Samsungs mobiltelefoner. Både Samsung og Google har bekreftet sårbarheten, og ifølge Google har den allerede blitt fikset i en oppdatering via Google Play Store.

Problemet henger sammen med tillatelsessystemet til Android-appene, nærmere bestemt lagringstillatelsen. Som sikkerhetsforskerne peker på er lagringstillatelser veldig brede og gir i utgangspunktet tilgang til hele SD-kortet.

Ved å lage en ondsinnet applikasjon med SD-korttilgang er det mulig å både få tilgang til lagrede bilder og video, men også mulig å «tvinge» fotoappen til å ta nye bilder og videoinnhold og gi angriperen tilgang til disse.

Videodemonstrasjon

Siden den eneste tillatelsen som kreves fra brukerens side for å utnytte sårbarheten til lagringstillatelsen vil en angriper enkelt kunne unngå mistanke, da dette er en utbredt standardtillatelse som svært mange apper ber om.

Sikkerhetsforskere demonstrerte sikkerhetsfeilen i en video, hvor en tilsynelatende uskyldig vær-applikasjon brukes til å opprette en «command and control»-forbindelse med angriperen. Denne forbindelsen opprettholdes selv når appen er lukket og mobilen er låst.

I tillegg til bilder og video kan angriperen også få tilgang til GPS-informasjon fra mobilen via enkle kommandoer.

Hele rapporten til Checkmarx kan lastes ned her (krever registrering).

Les også: Facebook-appen til iPhone kan slå på kameraet i bakgrunnen uten at du vet det »

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra