Pasak „Checkmarx“ pranešimo, „Android“ sistemos trūkumas suteikia potencialiems įsilaužėliams plačią prieigą prie telefono funkcijų be savininko sutikimo. Saugos spraga, kuri dar vadinama kodu CVE-2019-2234, leidžia fiktyvios aplikacijos kūrėjui valdyti telefono kamerą.
Be galimybės valdyti telefono kamerą, įsilaužėlis turi prieigą prie telefono failų bei fotografijų GPS duomenų, gali klausyti pokalbių ir juos įrašyti. Tokie veiksmai gali būti atlikti netgi jei piktybiška programėlė yra išjungta, telefonas užrakintas ir ekranas išjungtas.
Užpuolikas gali ne tik matyti, bet ir pasisavinti telefono naudotojo nuotraukas bei vaizdo įrašus. „Checkmarx“ aptiko spragą vasaros metu, kada atlikinėjo bandymus su „Google Camera“ programėle „Google Pixel“ telefonams.
Kaip teigė įmonės saugomo tyrimo skyriaus vadovas Erez Yalon, problema galėjo atsirasti dėl „Google“ kaltės, esą įmonė suteikia balso asistentui prieigą prie įrenginio kameros, o ši nėra pakankamai apsaugota, tad programišiai gali išnaudoti šį trūkumą savo tikslams pasiekti. Tolesnis tyrimas parodė, jog panašios saugos spragos potencialiai gali egzistuoti ir kituose įrenginiuose su „Android“ operacine sistema.
Susekti ar jūs galimai esate šios atakos taikinys beveik neįmanoma: kad savininkas neįtartų, jog telefonas atlikinėja įtartiną veiklą, įsilaužėlis gali naudoti visą telefono įrangą prieš patį šeimininką ir užmaskuoti visus galimus pėdsakus.
„Checkmarx“ susisiekė su „Google“ ir informavo apie šias problemas dar liepos mėnesį. „Samsung“ taip pat patvirtino, kad tos pačios spragos egzistuoja ir jų telefonuose. Kaip teigė „Google“, kompanija dėkoja už bendradarbiavimą ir primina, jog problemos jau buvo išspręstos per naujausią „Google Camera“ atnaujinimą.
Neskaitant „Samsung“ ir „Google“ vis dar neaišku ar kiti „Android“ telefonų gamintojai gali turėti tokią problemą. Dėl viso pikto, „Checkmarx“ pranešė ir kitiems gamintojams apie galimas apsaugos problemas. Nepaisant to, ar šis atvejis yra paplitęs kitur, vien tarp šių dviejų gigantų, šimtai milijonų naudotojų potencialiai gali būti pažeidžiami.
Kad išvengti nemalonumų, rekomenduojama į naujausią versiją atnaujinti savo išmaniųjų telefonų operacinę sistemą ir naudoti tik oficialias ir „Google“ pripažintas programėles.