Открытый исходный код ОС Android – это явное преимущество для разработчиков альтернативных прошивок и программ. Но данной возможностью в своих интересах активно пользуются злоумышленники. Представленный отчет исследователей компании Checkmarx содержит результаты тестов смартфонов под брендами Google и Samsung. Выявленные уязвимости предполагают критические риски. Авантюрные хакеры могут без проблем считывать любые данные устройства, а также брать под контроль работу камер или микрофона.
При тестировании системы безопасности в смартфонах Pixel 2 XL и Pixel 3, была обнаружена “слабость” в программе Google Camera – обширный список разрешающих действий. Это при том, что разрешение для программы при установке выдается только в части доступа к памяти аппарата. Кстати, камера Samsung имеет схожую проблему.
Исследователи зашли дальше. Они создали приложение с информацией о погоде, запрограммировав запрос разрешений доступа лишь к основной памяти (подобные программы не попадают в перечень вредоносных и Play Project никак на них не реагирует). Установленное дополнение автоматически поддерживает связь с сервером, от которого ждет определенной команды. При чем, ее закрытие не пресекает данную связь. То есть, системой Android могут управлять удаленным способом, а конкретнее:
- Осуществлять съемку встроенной камерой, с перенаправлением снимков и записей на указанный сервер. При этом может записываться и звук.
- Производить удаленную запись разговоров (входящих или исходящих звонков) по сигналу сенсора. Того, который отключает дисплей, когда динамик подносят к уху.
- Просматривать и копировать личные фотографии, видео, переписки, контакты и прочие данные, хранящиеся в памяти устройства.
- Создавать своеобразную карту передвижения пользователя гаджета при включенном параметре камеры «сохранение геоданных».
Вся эта история взяла начало еще в июле. Компания Checkmarx тогда предоставила результаты тестов в Google. Американская корпорация оценила серьезность уязвимости программ для камер как умеренная, затем уровень повысили до высокого. В августе представители Google сообщили, что с проблемой ознакомили большинство производителей Android-смартфонов. Помимо прочего, широко осветили в прессе информацию, что недостатки касались лишь июльского обновления, и эта уязвимость была искоренена впоследствии очередных обновлений. Что ж, в этом поверим на слово, а о числе пострадавших тогда погадаем на кофейной гуще.
