A Checkmarx biztonsági cég nemrég hívta fel a figyelmet egy olyan komoly sérülékenységre a Google és a Samsung kamerás alkalmazásaiban, amelyek több száz millió okostelefont érintenek.
A CVE-2019-2234-hez köthető probléma lényegében azt eredményezte, hogy a fentebb említett appokat és a képkezelő szenzorokat a felhasználók tudta nélkül tudták megnyitni és működtetni a hackerek.
Az effajta távoli elérést általában kivédi az Android rendszer, ugyanis a felhasználónak kellene megadni a megfelelő engedélyeket. A támadók azonban megkerülték a korlátozásokat. A Checkmarx ezt úgy szemléltette, hogy összerakott egy appot, ami a tárhelyhez kért engedélyt, majd átvette az irányítást a kamera fölött.
A szakértők szerint az utasításokat küldő szerverrel akkor is fennmaradt a kapcsolat, ha az adott app már be lett zárva. A tesztapp képes volt elindítani a kamerákat, fotózni, videózni, majd feltölteni az anyagokat a szerverre. A memóriában lévő fájlokat szintén átemelték. Emellett a GPS-t is tudták vezérelni, és a felhasználó tudta nélkül ellopni a helyadatait.
Mostanra ezt a rést bezárták, a Google és a Samsung már júliusban értesült minderről, mostanra kijavították a hibákat. Vagyis aki nagyjából naprakész mobilt használ (szoftveresen), annak elméletileg már nincs miért aggódnia. A történet viszont erősen figyelmeztető jellegű.
