Исследовательская группа по кибербезопасности Checkmarx рассказала об уязвимости, позволяющей злоумышленникам удалённо делать фото и видео незаметно для пользователей с помощью приложений Google Камера и Samsung Camera.
Исследователям удалось создать механизм, который обходит систему разрешений Android, не позволяющей получать доступ ко всем частям операционной системы без пользовательского подтверждения. Специалисты создали вредоносное приложение, замаскированное под сервис показа данных о погоде. Программа запрашивает только разрешение на доступ к хранилищу. Таким образом злоумышленник может удалённо отправлять команды на создание фото или запись видео.
Вредоносная программа способна копировать уже имеющийся на устройстве контент без разблокировки смартфона и других действий — то есть незаметно для пользователя. Исследователи Checkmarx уведомили Google и Samsung о наличии уязвимости 4 июля. Спустя несколько дней в Google подтвердили её подлинность и определили серьёзность проблемы как умеренную. К концу июля ранг уязвимости был увеличен. На текущий момент ошибку исправили обе программы, но пользователям следует обновиться до последней версии.
Читать первым в Telegram-канале «Код Дурова»