Ny fejl tillader Android-apps at tage billeder og filme uden tilladelse

20. november 2019 kl. 10:218
Ny fejl tillader Android-apps at tage billeder og filme uden tilladelse
Illustration: Google Chrome.
I værste tilfælde kan apps tage billeder og filme fra brugerens Android-enhed, trække GPS-koordinater fra filerne og overføre allerede eksisterende billeder og video fra enhedens SD-kort til appens ejere. Alt sammen uden at telefonens ejer har givet tilladelse til det eller ved, at det foregår.
person
Jacob Lund Madsen
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Jacob Lund Madsen
Journalist

En fejl i kamera-applikationen til Google og Samsungs telefonenheder gør det muligt for alle andre apps at tilgå enhedens kamera-app gennem den officielle kamera-app – uden den nødvendige tilladelse fra brugerens side.

Det skriver Bleepingcomputer.com på baggrund af arbejde fra selskabet Checkmarx, der arbejder med at identificere teknologiske svagheder.

I en simulation designede Checkmarx en umiddelbart uskyldig vejrudsigts-app. Efter installationen blev fuldført, skulle telefonens ejer give appen tilladelse til at tilgå telefonens SD-kort, hvilket ifølge Checkmarx er en normal forespørgsel fra de fleste apps.

Men med denne tilladelse kunne vejr-appen også tage billeder og filme via telefonens kamera-app uden den nødvendige tilladelse til at tilgå denne.

Lydløs funktion kunne slås til

Herefter kunne materialet sendes til en ekstern server. Checkmarx' simulation tager udgangspunkt i det værst tænkelige scenarie, hvor Checkmarx selv er i stand til at operere fra en ekstern computer, hvorfra de kontrollerede appen på den enkelte telefon.

Artiklen fortsætter efter annoncen

Herfra kunne de på diskret vis tage billeder og filme, også selvom telefonens ejer ikke selv anvendte telefonen til dette formål. Blandt andet kunne de slå kameraets lydløse funktion til, så telefonens ejer ikke kunne høre, når kameraet blev brugt.

Kunne videresende billeder

Derudover kunne Checkmarx trække GPS-koordinaterne fra de fotografier, appen kom i besiddelse af, og som en krølle på halen kunne appen videresende billeder og film fra enheden, som telefonens ejer selv havde taget tidligere.

Appen var også i stand til at tage billeder og filme, mens telefon blev benyttet til opkald eller andre former for tovejskommunikation.

Ifølge Google blev fejlet fikset tilbage i juli i år. Android-brugere opfordres til at opdatere deres telefon med den nyeste softwareopdatering.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Lasse Frøding
21. november 2019 kl. 10:19

en ny undskyldning for bevidst ikke at overholde anstændig opførsel

  • more_vert
    • insert_linkKopier link
7
Søren Theilgaard
20. november 2019 kl. 19:31

Hvordan følger det af artiklen at det kun handler om kamera app’en? Jeg kender kun iOS, men det ville være et klar sikkerhedsbrud her, hvis en app kunne tilgå en anden apps data. Jeg vil gerne vide om vi kan være sikre på det ikke har indflydelse på selve Android versionen.

  • more_vert
    • insert_linkKopier link
4
Ronnie Sodhi
20. november 2019 kl. 11:53

Det har intet med versionen af Android at gøre. Det følger direkte af artiklen, at det er en fejl i kamera-app’en på Google og Samsung-devices. Så længe disse bliver opdateret via den opdatering, der er pushet via Play Store i juli 2019, så er det pågældende sikkerhedshul lukket. Det er klart, at det forudsætter brugeren har opsat automatiske opdateringer via Play Store eller manuelt har foretaget opdateringen.

  • more_vert
    • insert_linkKopier link
3
Klavs Klavsen
20. november 2019 kl. 11:53

Ja, men hvilke versioner af de 17 milliarder forskellige udgave af Android er ramt, og inkluderer det også versioner som producenterne ikke gider holde ved lige længere?

Det er jo så netop derfor (iflg. Google) at de har hevet mange af deres applikationer UD af AOSP (Open Source Android) og over i PlayStore på denne måde, så ALLE telefoner, uanset version - automatisk får opdateret software fra Google.

Så hvis de har Googles kamera app - har playstore opdateret den, medmindre brugeren har en broken playstore (og så kan han heller ikke nemt installere en farlig app fra playstore kan man sige :)

Hvad Samsung gør - hvis ikke deres kamera app er i playstore og opdateres den vej, ved jeg ikke.

Google anvender jo så desværre også dette argument - for at closed-source flere og flere vitale applikationer til Android - som netop sikrer Google deres Android monopol.

  • more_vert
    • insert_linkKopier link
1
Carsten Andersen
20. november 2019 kl. 11:05

"This vulnerability in the Camera app was fixed in July 2019 via a Google Play Store update and a patch was issued to other vendors".

  • more_vert
    • insert_linkKopier link