pour Zero Day
| Le 19 novembre 2019 — 12:26 GMT (12:26 GMT)
Sujet: Sécurité
Les attaques de logiciels malveillants sur les hôpitaux sont à la hausse
L’industrie des soins de santé les magasins de certains des plus sensibles renseignements personnels, il peut y avoir sur les personnes: les pirates le savent et cherchent à exploiter ce qu’ils considèrent comme une cible facile.
Google et Samsung ont confirmé l’existence de failles de sécurité qui permettent cyberattackers de pirater la caméra de votre téléphone et secrètement prendre des photos ou enregistrer des vidéos, même si votre appareil est verrouillé.
Mardi, Erez Yalon, Directeur de Recherche en Sécurité chez Checkmarx divulgué les bugs, d’un suivi dans l’ensemble des CVE-2019-2234, qui proviennent de l’autorisation de dérivation des questions.
L’équipe a commencé une enquête sur la sécurité de nos smartphones capacités de l’appareil photo en explorant les Google Camera app sur Google Pixel 2 XL et Pixel 3, conduisant à la découverte qu’ils ont été en mesure de manipuler des mesures particulières et, dans l’ensemble, le rendre “possible pour n’importe quelle application, sans autorisations spécifiques, afin de contrôler les Google app Appareil photo.”
Cela inclus la prise de photos et l’enregistrement vidéo, même si le périphérique cible est verrouillée ou que l’écran a été désactivé, ou si la victime a été dans le milieu d’un appel téléphonique, qui sont les vecteurs d’attaque potentiels qui pourraient conduire à une surveillance et une grave violation de la vie privée.
Checkmarx dit que d’autres smartphone fournisseurs de la fabrication de l’utilisation du système d’exploitation Android, à savoir Samsung, étaient également vulnérables. En conséquence, il est possible que des centaines de millions d’utilisateurs finaux pourraient avoir été sensibles à exploiter.
Google est stricte quand il s’agit d’applications mobiles pour obtenir l’accès à des informations sensibles à partir d’une caméra, d’un microphone, ou les services de localisation. En conséquence, les utilisateurs doivent accepter la demande de permission, mais en Checkmarx du scénario d’attaque, ces exigences sont contournés.
L’Android de l’application appareil photo stocke habituellement des images et des vidéos sur une carte SD, et donc pour les applications à accéder à ce contenu, ils nécessitent un stockage d’autorisations.
“Malheureusement, le stockage des autorisations sont très larges et ces autorisations de donner accès à l’ensemble de la carte SD,” les chercheurs notent. “Il y a un grand nombre d’applications, avec des cas d’utilisation, qui demande l’accès à ce stockage, mais qui n’ont aucun intérêt particulier dans des photos ou des vidéos. En fait, c’est l’un des plus commune des autorisations demandées observée”.
Voir aussi: Malveillants Android apps contenant Joker logiciels malveillants s’installent sur Google Play
C’est cet ensemble d’autorisations que l’équipe décide de l’utiliser comme une attaque de la conduite. Si une application malveillante est accordé l’accès à une carte SD, il n’était pas possible d’accéder à des photos et des vidéos, mais la vulnérabilité veillé à ce que l’application photo pourrait être forcé de prendre de nouvelles images et de contenu vidéo.
“Nous pourrions facilement enregistrer le récepteur de la voix au cours de l’appel et nous avons pu enregistrer la voix de l’appelant ainsi,” les chercheurs ont dit. “Ce n’est pas le comportement souhaité, depuis le Google app Appareil photo ne devrait pas être autorisé à être entièrement contrôlé par une application externe, le contournement de la caméra/micro/GPS autorisations que l’utilisateur est confiant, le système d’exploitation Android de les appliquer.”
Pour aggraver les choses, comme le GPS, les métadonnées sont souvent enregistrées et intégrées dans les images, un attaquant pourrait théoriquement analyser ces données et d’acquérir des connaissances de l’utilisateur où il se trouve.
Une preuve de concept (PoC) se moquer application météo a été conçu pour montrer que tant qu’il y a stockage de base des autorisations en place, ce vecteur d’attaque est possible. Une fois ouvert, l’application se connecte à un ” commandement et contrôle (C2) de serveur et attend à l’opérateur d’envoyer des commandes à prendre et voler métrage.
Le PoC application est en mesure d’effectuer les fonctions suivantes:
Prendre une photo de la victime de téléphone et de le transférer à la C2Record une vidéo sur la victime du téléphone et de le transférer à la C2Parse photos de balises GPS et de localiser le téléphone mondiale mapSilence le téléphone pendant la prise de photos et l’enregistrement de videosWait pour un appel vocal — rendu possible grâce au téléphone capteur de proximité — et d’enregistrer automatiquement la vidéo de la victime et de l’audio à partir des deux côtés
La vulnérabilité des répercussions sur l’ensemble de Google pour les terminaux, y compris ceux au-delà de la Pixels de la ligne de produit.
CNET: les Manifestants scan public visages dans DC à montrer l’absence de reconnaissance faciale lois
Google a été informé des découvertes des chercheurs, le 4 juillet 2019, et à la fois la preuve de concept de l’app et une vidéo d’accompagnement ont été envoyés un jour plus tard. Commentaires sur Google croyance à la question de la sécurité était “modérée” plus tard, convaincu le géant technologique pour remonter le problème à un niveau “élevé” de la gravité du problème, et le 1er août, Google a enregistré le CVE et a confirmé que d’autres fournisseurs ont été touchés.
Un correctif a été publié, conduisant à une divulgation publique.
TechRepublic: la Cybersécurité reste la principale préoccupation pour les entreprises du middle market
“Nous apprécions Checkmarx avoir porté à notre attention et travailler avec Google et Android partenaires afin de coordonner la divulgation, la” Google a déclaré dans un communiqué. “La question a été abordée sur touchées Google dispositifs par l’intermédiaire d’un Magasin de Jeu mise à jour du Google Application de l’Appareil photo en juillet 2019. Un patch a également été mis à la disposition de tous les partenaires.”
En août 29, Samsung, l’un des fournisseurs touchés, a confirmé la vulnérabilité touchés par la firme combinés.
Un porte-parole de Samsung a dit ZDNet:
“Depuis qu’il a été informé de ce problème par Google, nous avons par la suite publié des correctifs à l’adresse de tous les Samsung modèles d’appareils susceptibles d’être touchés. Nous apprécions notre partenariat avec l’Android de l’équipe qui nous a permis d’identifier et de traiter de cette question directement.”
Précédente et de la couverture liée
Les attaquants utilisent WhatsApp fichiers vidéo MP4 vulnérabilité peut exécuter à distance du code
Android malware se déguise comme ad blocker, mais alors harcèle les utilisateurs avec des annonces
Malveillants mode de vie des applications trouvées sur Google Play, 30 millions installe enregistré
Y a une astuce? Entrer en contact de manière sécurisée via WhatsApp | Signal à +447713 025 499, ou plus au Keybase: charlie0
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
pour Zero Day
| Le 19 novembre 2019 — 12:26 GMT (12:26 GMT)
Sujet: Sécurité