Android-camera hackbaar door Google- en Samsung-apps
Deze ernstige kwetsbaarheden schuilen in de camera-apps van Google en Samsung en raken naar schatting enkele honderden miljoenen gebruikers van Android-smartphones. Het goede nieuws is dat de onthulling nu volgt op een uitgebreid traject van besloten bug-melding en vervolgens reparatie daarvan. De initiële fix is in juli al uitgebracht, maar vervolgens bleek er meer aan de hand te zijn. De aanvankelijk inschatting van 'matig' voor de bug is eind juli opgeschaald naar 'hoog'.
Andere Androids ook
Google heeft na eigen onderzoek van Checkmarx melding het vermoeden bevestigd dat niet alleen de camera-app van Google en diens Pixel-toestellen kwetsbaar waren. Ook andere Android-smartphonemakers blijken geraakt door de kwetsbaarheden (CVE-2019-2234). Deze externe partijen, waaronder Samsung, zijn medio augustus geïnformeerd. Google heeft in juli een update uitgebracht voor zijn eigen camera-app én een patch beschikbaar gesteld aan al zijn Android-partner.
Nu bij de onthulling, afgestemd met Google en Samsung, zijn de namen van die andere Android-leveranciers niet bekend gemaakt. Het is nog niet duidelijk of die toestel- en app-makers het grote spionagegat ook al hebben gedicht. Bovendien is er nog de kwestie van oudere toestellen, met oudere Android-versies. Het is de vraag of die een patch hebben gekregen of nog gaan krijgen.
Sinds de zomer
Ontdekker Checkmarx heeft op 4 juli de kwetsbaarheden gemeld bij het Android-securityteam van Google. Daarbij is ook een proof-of-concept (PoC) app aangeleverd, met een demonstratievideo. Securitybedrijf Checkmarx, wat tools levert voor veilige app-ontwikkeling, heeft een schijnbaar onschuldige weer-app gemaakt. Deze vraagt bij installatie om permissie voor opslagtoegang, wat functioneel gezien een logische en veelvoorkomende vraag is van apps.
De PoC-app bevat echter ingebouwde mogelijkheid om verbinding te leggen met een aansturingsserver (command & control) op internet. Deze verbinding wordt gemaakt zodra de app voor het eerst wordt gestart, waarna de link met de C&C-server actief blijft. Ook als de app weer is gesloten. Vervolgens kan de beheerder van de C&C-server zijn slag slaan op de zo gehackte Android-smartphones.
Aftappen en afwachten
De malafide mogelijkheden lopen uiteen van het maken en automatisch uploaden van foto's, video's en geluidsopnames. Het gebruikelijke camerageluid valt daarbij uit te schakelen waardoor gebruikers niet door hebben dat de camera en/of microfoon van hun smartphone actief is. Ook zijn recente foto's die gebruikers zelf hebben genomen door te spitten op GPS-coördinaten om zo de locatie van het toestel - en daarmee effectief de gebruiker - te plotten op een landkaart.
De PoC-app kan ook opnames starten zodra er een telefoongesprek plaatsvindt, waarbij video-opnames van het slachtoffer zijn te maken en audio-opnames van beide deelnemers aan een gesprek. Dankzij de proximity sensor ingebouwd in Android-smartphones kan de malafide app 'weten' wanneer het toestel tegen het oor wordt gehouden en er dus een telefoongesprek wordt gehouden. Checkmarx geeft meer details in zijn rapport, waarvoor het registratie vraagt. Het online-document is echter al door Google's zoekmachine geïndexeerd en dus vindbaar.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee