Исследователи в области компьютерной безопасности компании Checkmarx заявили о том, что некоторые стандартные команды в Android-смартфонах позволяли приложениям включать и запускать камеру без разрешения пользователей. Специалисты сообщили о проблеме компаниям Google и Samsung несколько месяцев назад, поэтому они успели исправить уязвимость, сообщает N+1.
В Google отметили, что оповестили и другие компании, вероятно, что уязвимость затронула и их смартфоны.
Приложения в Android могут запрашивать у системы доступ к некоторым функциям через стандартные API, причем для части функций система просит пользователя предоставить доступ приложению. Например, если приложение запрашивает доступ к камере или функциям сотовой связи, система сначала спрашивает разрешение у владельца.
Вместе с тем, существует также подсистема для общения приложений между собой. Например, некоторые приложения указывают координаты места на карте в виде ссылки, нажав на которую, пользователь попадает в стандартное приложение карт. За этим процессом стоит запрос действия через объект Intent. При этом указания на действия могут быть неявными, и в таком случае система сама выбирает приложения, подходящие под запрос, а бывают явными с указанием конкретного приложения и действия.
Специалисты выяснили, что стандартные приложения камеры в смартфонах Google и Samsung позволяют сторонним приложениям получать доступ к камере устройства, не важно, есть у них разрешение или нет. После того, как приложение отправляет запрос, включается приложение камеры, с помощью которого можно делать фото и видео, а также включать таймер съемки и выбирать, какую камеру использовать.
Исследователи отмечают, что сама по себе эта уязвимость не может быть полезной, но злоумышленники могут использовать ее вместе с другими возможностями системы. Они также показали, что работу вредоносного приложения можно скрыть, если пользователь подносит смартфон к уху или тот лежит экраном на столе.
Подписывайтесь на наш Telegram-канал с новостями технологий и культуры.
Ранее сообщалось о том, что пользователи Android-устройств смогут устанавливать на них приложения непосредственно через поиск.