Google hat ein jetzt behobenes Problem offengelegt, das es Apps von Drittanbietern ermöglichte, auf einen beunruhigenden Satz von Berechtigungen für seine in Android-Handys integrierte Kamera-App zuzugreifen.
Forscher haben ein schwerwiegendes Problem aufgedeckt, das es Angreifern ermöglichen könnte, die Google Camera App, die integrierte Smartphone-Kamera für Android-Telefone, zu kapern. Das Problem wurde im Juli für von Google hergestellte Handys behoben – aber Google sagte, dass Patches immer noch auf Smartphones im breiteren Android-Ökosystem, einschließlich der Samsung-Telefone, ausgeweitet werden.
Die Forscher fanden heraus, dass eine Anwendung eines Drittanbieters, die von einem Android-Telefonbenutzer „Speicherberechtigungen“ anfordert, in der Lage ist, auf die Kamera zuzugreifen, Videos aufzuzeichnen und auf die in den gespeicherten Fotos eingebetteten Geolokationsdaten zuzugreifen. Eine Anwendung müsste normalerweise für jede dieser Funktionen bestimmte Berechtigungen erteilen (wie android.permission.CAMERA, android.permission.RECORD_AUDIO, android.permission.ACCESS_COARSE_LOCATION und android.permission.ACCESS_FINE_LOCATION); die „Speicherberechtigungen“ werden jedoch automatisch und ohne Wissen der Android-Benutzer in all diesen Berechtigungen gebündelt.
„Leider sind die Speicherberechtigungen sehr breit gefächert und diese Berechtigungen ermöglichen den Zugriff auf die gesamte SD-Karte“, so die Checkmarx-Forscher, die den Fehler entdeckt haben, in einer Analyse am Dienstag. „Es gibt eine große Anzahl von Anwendungen mit legitimen Nutzungsfällen, die Zugang zu diesem Speicher anfordern, aber kein besonderes Interesse an Fotos oder Videos haben. Tatsächlich ist es eine der am häufigsten angeforderten Genehmigungen, die beobachtet werden.“
Um dies auszunutzen, müsste ein Angreifer lediglich eine App erstellen und die Opfer zum Herunterladen locken. Die Forscher ihrerseits haben eine Proof-of-Concept (PoC)-App – eine Schein-Wetter-App – erstellt, die nur die grundlegenden Speicherberechtigungen von den Benutzern verlangt. Nachdem diese erteilt worden waren, konnte die App Fotos und Videos auf dem Telefon des Opfers aufnehmen (auch wenn das Telefon gesperrt und der Bildschirm ausgeschaltet ist), auf gespeicherte Videos und Fotos zugreifen und die in den gespeicherten Fotos eingebetteten GPS-Metadaten abrufen (um die Nutzer möglicherweise zu lokalisieren).
Während die Forscher bestätigten, dass Google Pixel und Samsung-Smartphones betroffen sind, sagten sie, dass das Problem das breitere Android-Ökosystem betrifft und „für Hunderte von Millionen von Smartphone-Nutzern erhebliche Auswirkungen hat“.
Forscher berichteten dem Android-Sicherheitsteam von Google am 4. Juli über den Fehler. Am 18. August wurden mehrere Anbieter bezüglich des Fehlers kontaktiert, und am 29. August bestätigte Samsung, dass seine Telefone betroffen waren.
„Wir begrüßen es, dass Checkmarx uns auf diese Schwachstelle aufmerksam gemacht hat und mit Google und Android-Partnern zusammenarbeitet, um die Offenlegung zu koordinieren“, sagte ein Google-Sprecher in einer Medienerklärung. „Das Problem wurde auf den betroffenen Google-Geräten über ein Play Store-Update der Google-Kamera-Anwendung im Juli 2019 angesprochen. Außerdem wurde allen Partnern ein Patch zur Verfügung gestellt“. Samsung reagierte nicht auf eine Anfrage von Threatpost nach einem Kommentar.
