Дослідники в області комп'ютерної безпеки компанії Checkmarx заявили про те, що деякі стандартні команди Android-смартфонах дозволяли додатками включати і запускати камеру без дозволу користувачів. Фахівці повідомили про проблему компаній Google і Samsung кілька місяців тому, тому вони встигли виправити вразливість, повідомляє N+1.
У Google відзначили, що сповістили і інші компанії, ймовірно, що уразливість торкнулася і їхніх смартфонів.
Програми в Android можуть запитувати у системи доступ до деяких функцій через стандартні API, причому для частини функцій система просить користувача надати доступ додаткам. Наприклад, якщо додаток запитує доступ до камери або функцій стільникового зв'язку, система спочатку запитує дозвіл у власника.
Разом з тим, існує також підсистема для спілкування додатків між собою. Наприклад, деякі програми вказують координати місця на карті у вигляді посилання, натиснувши на яке користувач потрапляє в стандартний додаток карт. За цим процесом стоїть запит дії через об'єкт Intent. При цьому вказівки на дії можуть бути неявними, і в такому випадку система сама вибирає додатки, які підходять під запит, а бувають явними із зазначенням конкретного додатка і дії.
Фахівці з'ясували, що стандартні додатки камери в смартфонах Google і Samsung дозволяють стороннім додаткам одержувати доступ до камери пристрою, не важливо, чи є в них дозвіл чи ні. Після того, як додаток відправляє запит включається додаток камери, за допомогою якого можна робити фото і відео, а також включати таймер зйомки і вибирати, яку камеру використовувати.
Дослідники відзначають, що сама по собі ця вразливість не може бути корисною, але зловмисники можуть використовувати її разом з іншими можливостями системи. Вони також показали, що роботу шкідливої програми можна приховати, якщо користувач підносить смартфон до вуха чи той лежить екраном на столі.
Підписуйтесь на наш Telegram-канал з новинами технологій та культури.
Раніше повідомлялося про те, що користувачі Android-пристроїв зможуть встановлювати на них програми безпосередньо через пошук.