Як простежити за ким завгодно через камеру його смартфону

Як простежити за ким завгодно через камеру його смартфону

Параноїкам далі краще не читати. Фахівці з кібербезпеки з компанії Checkmarx опублікували звіт про знайдену ними уразливість в операційній системі Android. Вони виявили, що шляхом досить простих дій, існує можливість отримувати фотографії, відео, звукозаписи і місце розташування користувача практично будь-якого смартфону.

Android має багатий набір різних дозволів для додатків. За задумом творців, ця система обмеження доступу до функцій смартфону повинна забезпечити істотні утруднення для шкідливого ПО. Наприклад, без дозволу використати камеру — програми зловмисників не зможуть отримати з неї нову картинку, а без дозволу записувати звук — не отримають голос власника.

На практиці найпоширеніший дозвіл, потрібний додатками, — доступ до сховища — дає зловмисникові практично необмежені можливості шпигувати за власником смартфону. Навіть не використовуючи ніякі уразливості, будь-яке застосування, якому дозволено читати і записувати дані на вбудовану пам'ять, може знайти і вкрасти будь-який файл. Це можуть бути конфіденційні документи, диктофонні записи або знімки, а також відео.

Вивчаючи метадані фотографій можна упізнати місце, де був зроблений знімок(якщо запис геоданних примусово не був відключений користувачем). А якщо проаналізувати усе фото в галереї, можна побудувати карту переміщень об'єкту стеження. Іноді і цього вистачає для шантажу, атаки на жертву за допомогою соціальної інженерії або ж крадіжки фінансової інформації. Проте, є уразливість, яка розширює арсенал зловмисника до неймовірних меж.


Співробітники компанії Checkmarx знайшли спосіб змусити камеру смартфону примусово робити знімки або записувати відео. Виявилось, що для цього потрібна певна(неназвана в цілях безпеки) послідовність дій і внутрішніх системних викликів. Все, що після цього залишається зловмисникові — викачати отримані в результаті ролики і фотографії.Це дозволяє додатку що не має доступу до камери робити повноцінне захоплення відео, звуку(у формі аудіодоріжки до відео), зображень простору, що оточує смартфон, і відстежувати місце розташування жертви(як було описано вище — через геотеги фото). Щоб перевірити свої знахідки, в Checkmarx створили абсолютно нешкідливо виглядаюче застосування «погода» і наочно продемонстрували його роботу у відеоролику. Програма виконує усі свої основні функції — показує поточні метеорологічні відомості заданого місця.

Проте відразу після першого запуску вона встановлює фонове захищене з'єднання з видаленим сервером зловмисника і починає чекати команди. Воно продовжує працювати і після закриття додатка. Є два режими роботи : звичайний, коли камера смартфону відкривається на екрані, і потайний, в якому камера включатиметься тільки якщо смартфон лежить «обличчям вниз» або притиснутий до голови власника(під час розмови).

В результаті експерименту із смартфону Google Pixel 2XL під управлінням останньої версії Android 9 були отримані геоданні з усіх знімків, а також фото і відео в режимі реального часу. Більше того, фахівці з кібербезпеки продемонстрували цілком реальний варіант шпигунства, коли людина розмовляє по телефону поряд з проектором, на який виводяться конфіденційні дані. У момент розмови смартфон записує відео, а після цього готовий файл зловмисник благополучно зберігає собі.

Інформація про цю уразливість була надана компанії Google 4 липня. Через декілька днів і після первинного аналізу, вона отримала високий пріоритет, а в серпні її зареєстрували під кодом CVE - 2019 − 2234. До кінця місяця Checkmarx зв'язалися з провідними виробниками смартфонів, з яких, як мінімум Samsung підтвердив, що його пристрої схильні до цієї уразливості. Недавня публікація була погоджена з Google і корейською компанією, що може означати швидкий випуск виправлених версій програмного забезпечення. Проте варто враховувати, що терміни появи «латочок» досі не позначені.