Fotoaparát Google a aplikácie Fotoaparát Samsung odhalili svoje zámery Fotoaparát a Video aplikáciám tretích strán, čo viedlo k chybe zabezpečenia pri obídení povolení.
V porovnaní s iOS poskytuje Android aplikáciám veľa spôsobov vzájomnej interakcie, čo vývojárom umožňuje vytvárať niektoré z bežnejších funkcií Androidu, ktoré očakávame a máme radi. Je to možné vďaka systému Android Intent, ktorý umožňuje ľubovoľnej aplikácii odosielať akýkoľvek zámer, ktorý chce, a umožňuje aplikáciám prijímača spracovať tieto zámery kreatívnym spôsobom. Ako sa však ukázalo, aplikácie Fotoaparát Google a Fotoaparát Samsung ponechali svoj fotoaparát a video zámery vystavené tretím stranám aplikácie, čo ponecháva dvere otvorené pre potenciálne zneužitie obchádzaním kritických povolení, ako ukázali výskumní pracovníci v oblasti bezpečnosti Checkmarx.
Zámery v systéme Android sú opísané ako „objekty zasielania správ, ktoré uľahčujú komunikáciu medzi komponentmi aplikácie“, čo jednoduchšie znamená, že Intent umožňuje aplikáciám navzájom si posielať dáta. Napríklad, keď sa pokúsite zdieľať súbor zo správcu súborov do aplikácie, ako je WhatsApp, odosielate zámer do WhatsApp so súbormi ako údajmi. Každá aplikácia môže odoslať ľubovoľný zámer, ktorý chce, a je na prijímajúcej aplikácii, aby sa rozhodla, ktoré zámery chce počúvať, a to tak, že ich zadefinuje vo svojom súbore Manifest. Prijímajúca aplikácia tiež rozhoduje, ako na tieto zámery reagovať. Prijímajúca aplikácia môže navyše zabezpečiť, aby sa akcie vykonali iba vtedy, keď sa z nej odošle zámer konkrétne aplikácie na bielej listine (explicitné zámery) alebo z aplikácií, ktoré majú určité povolenia (chránené zámery). Ako sa ukázalo, nechránené zámery vo vyššie uvedených aplikáciách fotoaparátu môžu byť zneužité zlými hercami.
Checkmarx zistili, že aplikácie Fotoaparát Google a Fotoaparát Samsung mali nechránené zámery spúšťať akcie, ako je fotografovanie a nahrávanie videa. Nechránený zámer v tomto kontexte znamená, že prijímajúca aplikácia nekontroluje, či aplikácia odosielajúca zámer má potrebné povolenie na vykonanie samotnej akcie – android.povolenie. FOTOAPARÁT v tomto prípade. Aktivita kamery, com.google.android. GoogleCamera/com.android.camera. CameraActivity, bola tiež exportovaná aktivita, čo znamená, že si ju mohli vyžiadať iné aplikácie. Nechránený zámer a exportovaná aktivita tak vedú k zraniteľnosti obchádzania povolenia.
Mohla by sa tak skonštruovať škodlivá aplikácia, ktorá by nemala povolenie CAMERA, ale stále by bola schopná fungovať funkcie fotoaparátu ich smerovaním cez tieto aplikácie fotoaparátu a využívaním ich nechránených zámerov a exportovaním činnosť.
Ako dôkaz koncepcie, Checkmarx vytvoril fiktívnu aplikáciu počasia, ktorá nemala povolenie CAMERA, ale prišla s jediným povolením STORAGE, ktoré sa pre aplikáciu počasia nezobrazovalo mimo prevádzky. Bez povolenia fotoaparátu mohla aplikácia počasia spustiť Fotoaparát Google a Fotoaparát Samsung na fotografovanie a nahrávanie videí. Povolenie STORAGE vstupuje do hry pri prístupe k tomuto, ako aj ku všetkým ostatným fotografiám a videám uloženým v /DCIM – nie je potrebné na klikanie na fotografie a nahrávanie videí.
V najhoršom prípade možno túto zraniteľnosť zneužiť na veci, ako je nahrávanie videa používateľa počas hovoru, zoškrabovanie polohy informácie z GPS metadát fotografií, ak je v aplikácii fotoaparátu povolené označovanie polohy (a efektívne získať aktuálnu polohu telefónu), a viac.
Je pravda, že používateľské rozhranie naznačuje, že sa pristupuje k fotoaparátu, ale dá sa to vyriešiť aj vytvorením použitie senzora priblíženia na zistenie, kedy je displej telefónu vypnutý, a teda uniknúť používateľovi pozornosť. Škodlivá aplikácia môže tiež stlmiť hlasitosť telefónu a účinne stlmiť zariadenie, keď fotí alebo nahráva video.
Checkmarx tvrdí, že zraniteľnosť označená ako CVE-2019-2234 existuje aj v aplikáciách pre fotoaparáty od iných predajcov smartfónov. Vedci však neuviedli, ktorých predajcov a zariadení sa to týkalo, okrem spoločností Google a Samsung. Ak iné aplikácie Fotoaparát exportovali aktivity na spustenie snímania fotografií a nahrávania videa a majú nechránené zámery, ktoré nekontrolujú povolenie dostupné pre volajúcu aplikáciu, sú tiež postihnutých.
Keďže nejde o zraniteľnosť v rámci platformy Android alebo jadra Linuxu, nemožno ju zahrnúť a zaviesť ako súčasť Bulletin zabezpečenia systému Android. Chyba zabezpečenia bola opravená v aplikácii Fotoaparát Google prostredníctvom aktualizácie aplikácie v júli 2019 a to isté bola opravená v aplikácii Samsung Camera, aj keď neexistujú žiadne konkrétne informácie o tom, kedy bola táto aktualizácia uvedená von.
Vo verziách aplikácie Fotoaparát Google bez opravy môžete vynútiť, aby sa video prešlo touto chybou zabezpečenia spustením nasledujúceho príkazu ADB:
adb shell am start-activity -n
com.google.android.GoogleCamera/com.android.camera.CameraActivity --ez
extra_turn_screen_ontrue-aandroid.media.action.VIDEO_CAMERA--ez
android.intent.extra.USE_FRONT_CAMERAtrue
Ak používate Fotoaparát Google alebo Fotoaparát Samsung, uistite sa, že ste na svojom zariadení aktualizovali na najnovšiu verziu aplikácie pre fotoaparát, ktorá je sprístupnená prostredníctvom Obchodu Play alebo podľa okolností prostredníctvom OTA.