Telefono kamera ir mikrofonas galėjo būti valdomi bet kuria programėle be telefono savininko sutikimo. „Google“ ir „Samsung“ telefonų „Android“ programų trūkumai leido programėlėms įrašyti vaizdo ir garso įrašus, fotografuoti ir įkelti juos į įsibrovėlio valdomą serverį, neturint jokių leidimų tai daryti, skelbia „Arstechnica“.
Saugumo spraga, kurią atrado bendrovės „Checkmarx“ tyrėjai, kėlė didelį duomenų privatumo pavojų. „Google“ sukūrė savo „Android“ operacinę sistemą, kad neleistų programėlėms valdyti kamerų ir mikrofonų be aiškaus vartotojų leidimo, tačiau antradienį paskelbtas tyrimas parodė, kad apeiti tuos apribojimus yra gana paprasta.
Tyrimo metu nustatyta, kad programėlei visai nereikėjo leidimų, kad kamera galėtų fotografuoti ir įrašyti vaizdo bei garso įrašus. Norint įkelti vaizdus ir vaizdo įrašus ar bet kuriuos kitus telefone saugomus vaizdus ir vaizdo įrašus į užpuoliko valdomą serverį, programėlei reikėjo tik leidimo pasiekti duomenų saugyklą, o tai yra viena iš dažniausiai suteikiamų programėlės naudojimo teisių.
Tokia spraga potencialiems užpuolikams taip pat leido nustatyti įrenginio vietą, darant prielaidą, kad GPS duomenys buvo įterpti į vaizdus ar vaizdo įrašus. „Google“ išsprendė šią galimo šnipinėjimo problemą „Pixel“ įrenginių serijoje pasiūlydama fotoaparato atnaujinimą, kuris tapo prieinamas liepos mėnesį. „Checkmarx“ teigė, kad „Samsung“ taip pat ištaisė klaidą, nors nebuvo aišku, kada tai įvyko. Be to, „Google“ nurodė, kad kitų gamintojų „Android“ telefonai taip pat gali būti pažeidžiami. Konkretūs gamintojai ir modeliai nebuvo atskleisti.
Dėl saugumo spragos buvo galima fotografuoti ir įrašyti vaizdo įrašus, net kai telefonas buvo užrakintas, ekranas buvo išjungtas arba programėlė buvo uždaryta. Buvo galima pasiekti bet kokias telefone saugomas nuotraukas ar vaizdo įrašus, klausyti ir įrašyti telefoninius pokalbius. Be to, buvo galima visas telefone saugomas nuotraukas ar vaizdo įrašus perkelti į užpuoliko valdomą serverį.
Pranešime „Google“ atstovai rašė: „Mes vertiname tai, kad „Checkmarx“ atkreipė mūsų dėmesį į šią problemą. Ji buvo išspręsta liepos mėnesio atnaujinimu.“
„Samsung“ pareigūnai tikino, kad nuo tada, kai„ Google“ pranešė apie šią problemą, buvo išleisti atnaujinimai, skirti visiems „Samsung “įrenginių modeliams, kuriems tai galėjo turėti įtakos. Tiesa, bendrovė nepranešė, kada tiksliai ši saugumo spraga buvo pašalinta ir kaip naudotojai gali pasitikrinti, ar jiems ji grėsmės jau nekelia.
