Ny fejl tillader Android-apps at tage billeder og filme uden tilladelse

Illustration: Google Chrome
I værste tilfælde kan apps tage billeder og filme fra brugerens Android-enhed, trække GPS-koordinater fra filerne og overføre allerede eksisterende billeder og video fra enhedens SD-kort til appens ejere. Alt sammen uden at telefonens ejer har givet tilladelse til det eller ved, at det foregår.

En fejl i kamera-applikationen til Google og Samsungs telefonenheder gør det muligt for alle andre apps at tilgå enhedens kamera-app gennem den officielle kamera-app – uden den nødvendige tilladelse fra brugerens side.

Det skriver Bleepingcomputer.com på baggrund af arbejde fra selskabet Checkmarx, der arbejder med at identificere teknologiske svagheder.

I en simulation designede Checkmarx en umiddelbart uskyldig vejrudsigts-app. Efter installationen blev fuldført, skulle telefonens ejer give appen tilladelse til at tilgå telefonens SD-kort, hvilket ifølge Checkmarx er en normal forespørgsel fra de fleste apps.

Men med denne tilladelse kunne vejr-appen også tage billeder og filme via telefonens kamera-app uden den nødvendige tilladelse til at tilgå denne.

Læs også: Fejl i Facebooks app aktiverer kameraet i baggrunden

Lydløs funktion kunne slås til

Herefter kunne materialet sendes til en ekstern server. Checkmarx' simulation tager udgangspunkt i det værst tænkelige scenarie, hvor Checkmarx selv er i stand til at operere fra en ekstern computer, hvorfra de kontrollerede appen på den enkelte telefon.

Herfra kunne de på diskret vis tage billeder og filme, også selvom telefonens ejer ikke selv anvendte telefonen til dette formål. Blandt andet kunne de slå kameraets lydløse funktion til, så telefonens ejer ikke kunne høre, når kameraet blev brugt.

Kunne videresende billeder

Derudover kunne Checkmarx trække GPS-koordinaterne fra de fotografier, appen kom i besiddelse af, og som en krølle på halen kunne appen videresende billeder og film fra enheden, som telefonens ejer selv havde taget tidligere.

Appen var også i stand til at tage billeder og filme, mens telefon blev benyttet til opkald eller andre former for tovejskommunikation.

Læs også: Fejl i WhatsApp: Hackere kunne installere spyware på telefoner i al hemmelighed

Ifølge Google blev fejlet fikset tilbage i juli i år. Android-brugere opfordres til at opdatere deres telefon med den nyeste softwareopdatering.

Læs også: Google går sammen med sikkerhedsselskaber for at øge sikkerheden på Play Store

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Klavs Klavsen

Ja, men hvilke versioner af de 17 milliarder forskellige udgave af Android er ramt, og inkluderer det også versioner som producenterne ikke gider holde ved lige længere?


Det er jo så netop derfor (iflg. Google) at de har hevet mange af deres applikationer UD af AOSP (Open Source Android) og over i PlayStore på denne måde, så ALLE telefoner, uanset version - automatisk får opdateret software fra Google.

Så hvis de har Googles kamera app - har playstore opdateret den, medmindre brugeren har en broken playstore (og så kan han heller ikke nemt installere en farlig app fra playstore kan man sige :)

Hvad Samsung gør - hvis ikke deres kamera app er i playstore og opdateres den vej, ved jeg ikke.

Google anvender jo så desværre også dette argument - for at closed-source flere og flere vitale applikationer til Android - som netop sikrer Google deres Android monopol.

  • 5
  • 0
Ronnie Sodhi

Det har intet med versionen af Android at gøre. Det følger direkte af artiklen, at det er en fejl i kamera-app’en på Google og Samsung-devices. Så længe disse bliver opdateret via den opdatering, der er pushet via Play Store i juli 2019, så er det pågældende sikkerhedshul lukket. Det er klart, at det forudsætter brugeren har opsat automatiske opdateringer via Play Store eller manuelt har foretaget opdateringen.

  • 2
  • 0
Morten Svendsen

For at kune udnytte sårbarheden skal du selv installere en ondsindet app og give den lov til at tilgå extern storage (READ_EXTERNAL_STORAGE permission). Denne app vil så via. fejlen i Google Camera app kunne tage billeder og optage video, samt sende dem ud fra telefonen.

[ https://info.checkmarx.com/wp-vulnerability-report-android-camera-app ]

  • 1
  • 0
Søren Theilgaard

Hvordan følger det af artiklen at det kun handler om kamera app’en?
Jeg kender kun iOS, men det ville være et klar sikkerhedsbrud her, hvis en app kunne tilgå en anden apps data.
Jeg vil gerne vide om vi kan være sikre på det ikke har indflydelse på selve Android versionen.

  • 1
  • 1
Log ind eller Opret konto for at kommentere