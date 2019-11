Petr Krčmář

V některých zařízeních s operačním systémem Android byla objevena vážná zranitelnost, která umožňuje zákeřné aplikaci připojit se k fotoaparátu a pořizovat obrázky či videa bez vědomí uživatele a dokonce bez oprávnění v systému. Zranitelnost objevila a popsala společnost Checkmarx.

Může za to zranitelnost CVE-2019–2234, která se nachází v předinstalované aplikaci pro fotoaparát. Tu je možné donutit, aby na povel jiné aplikace pořizovala fotky nebo videa a ukládala je do sdíleného úložiště. Odtud pak mohou být odeslána kamkoliv. Podmínkou samozřejmě je, aby zákeřný program měl k úložišti přístup. To ovšem nebývá problém, protože jde o jedno z nejběžnější oprávnění udělovaných v Androidu.

Útočná aplikace pak má velmi mnoho možností. Může pořizovat samotné obrázky či videa, má ale také možnost z nich zjišťovat GPS souřadnice a tím uživatele sledovat, může také počkat na příchozí hovor a ten pohodlně nahrát. To vše může dělat v utajeném režimu, kdy fotoaparát nevydá žádný zvuk.

Zranitelnost se týká minimálně zařízení od společností Google a Samsung, obě už vydaly záplaty: první jmenovaná v červenci, druhá pak v srpnu. Vývojáři Androidu prý výrobcům zařízení během léta dodali záplaty a informovali je o možné hrozbě. Jména konkrétních firem ale nebyla zveřejněna. Podívejte se na ukázku útoku: