Google Camera och Samsung Camera-apparna exponerade sina kamera- och videoavsikter för appar från tredje part, vilket gav upphov till en sårbarhet för förbikoppling av tillstånd.
Jämfört med iOS ger Android applikationer många sätt att interagera med varandra, vilket gör det möjligt för utvecklare att bygga några av de vanligare Android-funktionerna som vi har kommit att förvänta oss och älska. Detta görs möjligt tack vare Androids Intent-system, som tillåter vilken app som helst att skicka vilken avsikt den vill, och låter mottagarappar hantera dessa avsikter på ett kreativt sätt. Men som det visar sig har Google Camera-appen och Samsung Camera-appen lämnat sina kamera- och videoavsikter exponerade för tredje part appar, som lämnar dörren öppen för potentiellt missbruk genom att kringgå kritiska behörigheter, vilket har demonstrerats av säkerhetsforskarna på Checkmarx.
Avsikter på Android beskrivs som "meddelandeobjekt som underlättar kommunikationen mellan appkomponenter", vilket i enklare termer innebär att Intent tillåter appar att skicka data till varandra. Till exempel, när du försöker dela en fil från en filhanterare till en app som WhatsApp, skickar du en avsikt till WhatsApp med filerna som data. Vilken app som helst kan skicka vilken avsikt den vill, och det är upp till den mottagande appen att bestämma vilka avsikter den vill lyssna efter, genom att definiera densamma i sin Manifest-fil. Den mottagande appen bestämmer också hur den ska reagera på dessa avsikter. Vidare kan den mottagande appen också säkerställa att åtgärder endast utförs när en avsikt skickas från specifika vitlistade appar (uttryckliga avsikter) eller från appar som har vissa behörigheter (skyddade avsikter). Som det visar sig kan oskyddade avsikter i de ovan nämnda kameraapparna utnyttjas av dåliga skådespelare.
Checkmarx upptäckte att Google Camera-appen och Samsung Camera-appen hade oskyddade avsikter att utlösa åtgärder som att ta ett foto och spela in en video. Ett oskyddat avsikt i detta sammanhang betyder att den mottagande appen inte kontrollerar om appen som skickar avsikten har den nödvändiga tillåtelsen att utföra själva åtgärden -- android.permission. KAMERA I detta fall. Kameraaktiviteten, com.google.android. GoogleCamera/com.android.camera. Kameraaktivitet, var också en exporterad aktivitet, vilket innebär att andra appar kunde kräva det. Den oskyddade avsikten och den exporterade aktiviteten leder alltså till en sårbarhet för förbikoppling av tillstånd.
En skadlig app skulle alltså kunna konstrueras som inte skulle ha CAMERA-behörighet, men som ändå skulle kunna använda vissa kamerafunktioner genom att dirigera dem genom dessa kameraappar och dra nytta av deras oskyddade avsikter och exporteras aktivitet.
Som ett proof-of-concept, Checkmarx skapade en dummy väderapplikation som inte hade CAMERA-behörighet, men den kom med en enda STORAGE-behörighet, en som inte verkade ur funktion för en väderapp. Utan kameratillstånd kunde väderappen trigga Google Camera och Samsung Camera för att ta bilder och spela in videor. STORAGE-behörigheten spelar in när du kommer åt detta och såväl som alla andra foton och videor som sparats på /DCIM -- det behövs inte för att klicka på foton och spela in videor.
I värsta fall kan denna sårbarhet utnyttjas för att göra saker som att spela in användarens video under ett samtal, skrapa plats information från GPS-metadata för foton om platstaggningen är aktiverad i kameraappen (och effektivt hämtar telefonens aktuella plats), och mer.
Visst, gränssnittet indikerar att kameran nås, men detta kan också lösas genom att göra användning av närhetssensorn för att mäta när telefonens display är avstängd, och därmed undkomma användarens uppmärksamhet. En skadlig app kan också stänga av volymen på telefonen och effektivt tysta enheten när den tar ett foto eller spelar in en video.
Checkmarx hävdar att sårbarheten, märkt CVE-2019-2234, även finns i kameraappar från andra smartphone-leverantörer. Men forskarna namngav inte vilka leverantörer och enheter som påverkades, utanför Google och Samsungs. Om andra kameraappar har exporterat aktiviteter för att starta fotoinsamling och videoinspelning och har oskyddade avsikter som inte letar efter behörigheten som är tillgänglig för den uppringande appen, det är de också påverkade.
Eftersom detta inte är en sårbarhet inom Android-plattformen eller Linux-kärnan, kan den inte inkluderas och rullas ut som en del av Android säkerhetsbulletin. Sårbarheten åtgärdades i Google Kamera-appen genom en appuppdatering i juli 2019, och samma har också fixats i Samsung Camera-appen, även om det inte finns någon specifik information om när den här uppdateringen rullades ut.
På oparpade versioner av Google Kamera kan du tvinga en video att tas genom denna sårbarhet genom att köra följande ADB-kommando:
adb shell am start-activity -n
com.google.android.GoogleCamera/com.android.camera.CameraActivity --ez
extra_turn_screen_ontrue-aandroid.media.action.VIDEO_CAMERA--ez
android.intent.extra.USE_FRONT_CAMERAtrueOm du använder Google Camera eller Samsung Camera, se till att du uppdaterar till den senaste versionen av kameraappen på din enhet, rullad ut via Play Butik eller via en OTA, beroende på vad som kan vara fallet.