ثغرة أمنية خطيرة في أندرويد قد تؤدي إلى التجسس عليك من خلال الكاميرا
حذر الخبراء من العديد من نقاط الضعف التي تؤثر على هواتف Google و Samsung الذكية التي قد تسمح للمهاجم بالتحكم في تطبيق كاميرا الجهاز لالتقاط الصور عن بُعد وتسجيل الفيديو وحتى التجسس على محادثات المستخدم وموقعه.
وقد تم اكتشاف العيوب من قبل فريق أبحاث Checkmarx ، الذي بدأ في البداية البحث في تطبيق Google Camera على Pixel 2XL و Pixel 3 عندما اكتشفوا نقاط ضعف متعددة ناشئة عن مشكلات تجاوز الأذونات.
الخطير في الأمر أر أن فريق Checkmarx قد اكتشف المزيد، وكشف أن هذه الثغرات الأمنية نفسها تؤثر أيضًا على تطبيق كاميرا Samsung وموردي هواتف أندرويد الأخرى أيضًا.
وقد أوضح بيدرو أومبيلينو مدير أبحاث الأمن في تشيكماركس وإريز يالون وكبير الباحثين الأمنيين في الشركة ، كيف تمكنوا من استخدام تطبيق أجنبي للسيطرة على تطبيق Google Camera في منشور بالمدونة ، قائلين:
"بعد تحليل مفصل لتطبيق Google Camera ، وجد فريقنا أنه من خلال معالجة إجراءات ونوايا محددة ، يمكن للمهاجم التحكم في التطبيق لالتقاط الصور و / أو تسجيل مقاطع الفيديو من خلال تطبيق أجنبي لا يملك أذونات للقيام بذلك."
"بالإضافة إلى ذلك ، وجدنا أن بعض سيناريوهات الهجوم تُمكّن الجهات الفاعلة الخبيثة من الالتفاف على سياسات أذونات التخزين المختلفة ، مما يتيح لها الوصول إلى مقاطع الفيديو والصور المخزنة ، بالإضافة إلى بيانات GPS المضمنة في الصور ، لتحديد موقع المستخدم من خلال التقاط صورة أو فيديو. هذه التقنية نفسها تنطبق أيضًا على تطبيق كاميرا Samsung. "
من أجل استغلال الثغرات الأمنية التي وجدت في تطبيق Google Camera ، طور Checkmarx تطبيقًا ضارًا (تطبيق طقس) كدليل على استغلال المكتشف. لم يتطلب تطبيق الطقس الذي أنشأه أي أذونات خاصة إلى جانب الوصول إلى التخزين الأساسي وهو إذن شائع تطلبه العديد من التطبيقات الأخرى على متجر Google Play.
حيث أن Google تجعل تطبيقات الجهات الخارجية تطلب إذنًا للوصول إلى الصور ومقاطع الفيديو الخاصة بالهاتف بالإضافة إلى الوصول إلى تطبيق الكاميرا الافتراضي ، لكن الذي حصل أن الباحثين تمكنوا من الحصول على إذن من تطبيق دون موافقة المستخدم الصريحة. من خلال معالجة إجراءات ونوايا محددة ، يمكن للمهاجم التحكم في تطبيق الكاميرا ، ويمكنه التقاط الصور وتسجيل مقاطع الفيديو دون موافقة المستخدم.
بالإضافة إلى ذلك ، تسمح بعض المعطيات أيضًا للمهاجم بالتحكم في سعة تخزين الجهاز وكذلك بيانات GPS المخزنة في الصور ومقاطع الفيديو.
إن إثبات الاستغلال الذي أنشأه Checkmarx سيسمح للمهاجم بتسجيل الفيديو والتقاط الصور إذا كان الهاتف الذكي مقفلاً.
جدير بالذكر أن كل من Google و Samsung أصدرتا تصحيحات للثغرات الأمنية لمنع الوقوع ضحية لهجوم مماثل ، لدا يجب على المستخدمين تحديث أجهزتهم إلى أحدث إصدار من Android.