Hijacking der Android Kamera möglich

Sicherheitsforscher von Checkmarx haben eine Schwachstelle in Android gefunden, über die die Kameras der Geräte ohne Wissen des Benutzers zum Anfertigen von Fotos und Videos missbraucht werden können.


Anzeige

Die Sicherheitsforscher des israelischen Sicherheitsunternehmens Checkmarx haben die Schwachstelle CVE-2019-2234 in Android, die Smartphones von Google (Pixel) und Samsung betrifft, in diesem Blog-Beitrag beschrieben.

Motorola Foto App(Symbolbild)

Nach einer detaillierten Analyse der Google Kamera App stellte das Team fest, dass ein Angreifer durch die Manipulation bestimmter Aktionen (Intends-Filter) die Kamera-App ohne Freigabe durch den Nutzer steuern kann. So lassen sich Fotos und/oder Videos über andere Apps aufzunehmen, ohne dass diese eine Berechtigung dazu haben.

Darüber hinaus haben die Sicherheitsforscher festgestellt, dass bestimmte Angriffsszenarien es böswilligen Akteuren ermöglichen, verschiedene Richtlinien für Speicherrechte zu umgehen. Dies ermöglicht diesen den Zugriff auf gespeicherte Videos und Fotos sowie in Fotos eingebettete GPS-Metadaten. Dies ermöglicht Angreifern die Aufnahme eines Fotos oder Videos und diese anschließend durch das Parsen der richtigen EXIF-Daten zu finden.


Anzeige

Dieselbe Schwachstelle konnte auch in der Samsung Camera App festgestellt werden. Die Sicherheitsforscher haben Google am 4. Juli 2019 über das Problem informiert. Später wurde eine App als Proof of Concept übermittelt, worauf Google die Schwachstelle erst als moderat einstufte. Nach weiterer Korrespondenz wurde die Schwachstelle als 'High' klassifiziert. Mehrere OEMs wurden im Nachgang kontaktiert und sowohl Google als auch Samsung haben Korrektur-Updates ausgerollt. Bei Interesse am Thema, neben dem verlinkten Original-Artikel (Englisch) hat heise inzwischen diesen Beitrag mit deutschsprachigen Informationen veröffentlicht.


Anzeige

Dieser Beitrag wurde unter Android, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.