Fotoaparát Google a aplikace Fotoaparát Samsung odhalily své záměry Fotoaparát a Video aplikacím třetích stran, což vedlo k zranitelnosti obcházení oprávnění.
Ve srovnání s iOS poskytuje Android aplikacím mnoho způsobů vzájemné interakce, což vývojářům umožňuje vytvářet některé z běžnějších funkcí Androidu, které očekáváme a milujeme. To je možné díky systému Android Intent, který umožňuje jakékoli aplikaci odeslat jakýkoli záměr, který chce, a umožňuje aplikacím přijímače zpracovávat tyto záměry kreativním způsobem. Jak se však ukázalo, aplikace Fotoaparát Google a Fotoaparát Samsung ponechaly své fotoaparáty a video záměry vystaveny třetím stranám aplikací, což ponechává dveře otevřené pro potenciální zneužití obcházením kritických oprávnění, jak prokázali bezpečnostní výzkumníci na Checkmarx.
Záměry na Androidu jsou popsány jako "objekty zasílání zpráv, které usnadňují komunikaci mezi komponentami aplikace“, což jednodušeji znamená, že Intent umožňuje aplikacím posílat si data. Když se například pokusíte sdílet soubor ze správce souborů do aplikace, jako je WhatsApp, odesíláte do WhatsApp záměr se soubory jako daty. Jakákoli aplikace může odeslat jakýkoli záměr, který chce, a je na přijímající aplikaci, aby rozhodla, které záměry chce naslouchat, a to tak, že je definuje ve svém souboru Manifest. Přijímající aplikace také rozhoduje, jak na tyto záměry reagovat. Dále může přijímající aplikace také zajistit, že akce budou provedeny pouze v případě, že je odeslán záměr konkrétní aplikace na seznamu povolených (explicitní záměry) nebo z aplikací, které mají určitá oprávnění (chráněné záměry). Jak se ukazuje, nechráněné záměry ve výše uvedených aplikacích fotoaparátu mohou být zneužity špatnými herci.
Checkmarx zjistili, že aplikace Fotoaparát Google a Fotoaparát Samsung měly nechráněné záměry spouštět akce, jako je fotografování a nahrávání videa. Nechráněný záměr v tomto kontextu znamená, že přijímající aplikace nekontroluje, zda aplikace odesílající záměr má potřebné oprávnění k provedení samotné akce – android.povolení. FOTOAPARÁT v tomto případě. činnost kamery, com.google.android. GoogleCamera/com.android.camera. CameraActivity, byla také exportovaná aktivita, což znamená, že ji mohou vyžadovat jiné aplikace. Nechráněný záměr a exportovaná aktivita tak vedou ke zranitelnosti typu povolení obejít.
Mohla by tak být zkonstruována škodlivá aplikace, která by neměla oprávnění CAMERA, přesto by byla schopna jistého provozu funkce fotoaparátu jejich směrováním přes tyto aplikace fotoaparátu a využitím jejich nechráněných záměrů a exportem aktivita.
Jako důkaz koncepce, Checkmarx vytvořili fiktivní aplikaci pro počasí, která neměla oprávnění CAMERA, ale byla dodána s jediným oprávněním STORAGE, které se u aplikace počasí neobjevilo mimo provoz. Bez povolení fotoaparátu mohla aplikace počasí spustit Fotoaparát Google a Fotoaparát Samsung k pořizování fotografií a nahrávání videí. Oprávnění STORAGE vstupuje do hry při přístupu k tomuto a také ke všem ostatním fotografiím a videím uloženým na /DCIM – není potřeba pro akce klikání na fotografie a nahrávání videí.
V nejhorším případě lze tuto zranitelnost zneužít k provádění věcí, jako je nahrávání videa uživatele během hovoru, seškrabování polohy informace z GPS metadat fotografií, pokud je v aplikaci fotoaparátu povoleno označování polohy (a efektivně získat aktuální polohu telefonu), a více.
Je pravda, že uživatelské rozhraní ukazuje, že fotoaparát je zpřístupněn, ale lze to také obejít vytvořením použití senzoru přiblížení k měření, kdy je displej telefonu vypnutý, a uniknout tak uživateli Pozornost. Škodlivá aplikace by také mohla ztlumit hlasitost telefonu a účinně ztišit zařízení, když pořizuje fotografii nebo nahrává video.
Checkmarx tvrdí, že zranitelnost, označená CVE-2019-2234, existuje také v aplikacích pro fotoaparáty od jiných výrobců chytrých telefonů. Výzkumníci však neuvedli, kterých prodejců a zařízení se to týkalo, kromě Googlu a Samsungu. Pokud jiné aplikace Fotoaparát exportovaly aktivity pro zahájení fotografování a nahrávání videa a mají nechráněné záměry, které nekontrolují oprávnění dostupná pro volající aplikaci, jsou také postižený.
Protože se nejedná o chybu zabezpečení v rámci platformy Android nebo jádra Linuxu, nelze ji zahrnout a zavést jako součást Bulletin zabezpečení systému Android. Tato chyba zabezpečení byla opravena v aplikaci Fotoaparát Google prostřednictvím aktualizace aplikace v červenci 2019 a totéž opraveno v aplikaci Samsung Camera, i když neexistují žádné konkrétní informace o tom, kdy byla tato aktualizace uvedena ven.
Na neopravených verzích Fotoaparátu Google můžete vynutit pořízení videa pomocí této chyby zabezpečení spuštěním následujícího příkazu ADB:
adb shell am start-activity -n
com.google.android.GoogleCamera/com.android.camera.CameraActivity --ez
extra_turn_screen_ontrue-aandroid.media.action.VIDEO_CAMERA--ez
android.intent.extra.USE_FRONT_CAMERAtruePokud používáte Fotoaparát Google nebo Fotoaparát Samsung, ujistěte se, že jste na svém zařízení aktualizovali na nejnovější verzi aplikace pro fotoaparát, která byla zavedena prostřednictvím Obchodu Play, případně prostřednictvím OTA.