voor Zero Day
| 19 November 2019 — 12:26 GMT (12:26 GMT)
| Onderwerp: Security
Malware-aanvallen op ziekenhuizen zijn op de stijging
De healthcare industrie slaat een aantal van de meest gevoelige persoonlijke informatie er kan worden over mensen: hackers weten dit en zijn op zoek te benutten wat ze beschouwen als een makkelijk doelwit.
Google en Samsung hebben bevestigd dat de aanwezigheid van kwetsbaarheden in de beveiliging die het mogelijk maken cyberattackers te kapen de camera van uw telefoon en stiekem foto ‘ s nemen of video opnemen, zelfs als het apparaat is vergrendeld.
Op dinsdag, Erez Yalon, Director of Security Research bij Checkmarx bekendgemaakt van de bugs, bijgehouden in het algemeen zoals CVE-2019-2234, die het gevolg zijn van toestemming bypass problemen.
Het team begon een onderzoek naar de veiligheid van onze smartphones’ camera-mogelijkheden door het verkennen van de Google-Camera-app op een Google-Pixel 2 XL en Pixel 3, leidt tot de ontdekking dat zij in staat waren om te knoeien met bijzondere acties en in het algemeen, maken het mogelijk voor elke toepassing, zonder specifieke machtigingen, om de controle van de Google-Camera-app.”
Dit omvat het nemen van foto ‘ s en video opnemen, zelfs als het apparaat is vergrendeld of wordt het scherm uitgeschakeld, of als het slachtoffer werd in het midden van een telefoongesprek — alle potentiële beveiligingslekken die kunnen leiden tot toezicht en een ernstige schending van de privacy.
Checkmarx zegt dat andere smartphone-leveranciers maken gebruik van het Android-besturingssysteem, namelijk Samsung, waren ook kwetsbaar. Als een resultaat, het is mogelijk dat honderden miljoenen eindgebruikers zou kunnen zijn gevoelig voor exploit.
Google is streng als het gaat om mobiele applicaties om toegang te verkrijgen tot gevoelige informatie van de camera, de microfoon, of locatie diensten. Het resultaat is dat gebruikers moeten accepteren verzoeken om toestemming, maar in Checkmarx ‘ s van een aanval, deze eisen worden omzeild.
De Android camera-toepassing meestal slaat beelden en video ‘ s op een SD-kaart, en dus voor apps om toegang te krijgen tot deze inhoud, ze vereisen een opslag machtigingen.
“Helaas, opslag machtigingen zijn zeer breed en deze rechten geven toegang tot de volledige SD-kaart,” de onderzoekers opmerking. “Er zijn een groot aantal van toepassingen, met legitieme use-cases, die toegang vragen tot deze opslag, maar u heeft geen speciale interesse in foto ‘s of video’ s. In feite is het een van de meest voorkomende gevraagde machtigingen waargenomen.”
Zie ook: Kwaadaardige Android-apps met Joker malware opgezet winkel op Google Play
Het is deze set van rechten die het team besloten om te gebruiken als een aanval leiding. Als een kwaadaardige app toegang tot een SD-kaart, het was niet alleen mogelijk om de foto ‘s en video’ s, maar de kwetsbaarheid voor gezorgd dat de foto-app zou kunnen worden gedwongen tot het nemen van nieuwe afbeeldingen en video-inhoud.
“We gemakkelijk kunnen opnemen van de ontvanger stem tijdens het gesprek en we konden het opnemen van de stem van de beller en,” de onderzoekers gezegd. “Dit is niet gewenst gedrag, sinds de Google-Camera app mag niet volledig worden gecontroleerd door een externe app, het omzeilen van de camera/microfoon/GPS machtigingen die voor de gebruiker is het vertrouwen van de Android OS af te dwingen.”
Tot overmaat van ramp, zoals GPS-metagegevens wordt vaak vastgelegd en ingebed in beelden, een aanvaller kan in theorie parseren van deze gegevens en het verkrijgen van kennis van een gebruiker ‘ s verblijfplaats.
Een proof-of-concept (PoC) mock weather-app is ontworpen om te laten zien dat zolang er standaard opslag van rechten in de plaats, deze aanval is mogelijk. Wanneer geopend, de app maakt verbinding met een command-and-control (C2) – server en wacht voor de exploitant om het verzenden van commando ‘ s te nemen en stelen van materiaal.
De PoC-app is in staat om de volgende functies uitvoeren:
Een foto van het slachtoffer telefoon en upload het naar de C2Record een video op van het slachtoffer telefoon en upload het naar de C2Parse foto ‘s voor GPS-tags en vinden de telefoon op een wereldwijde mapSilence de telefoon tijdens het nemen van foto’ s en het opnemen van videosWait voor een gesprek — mogelijk gemaakt door de telefoon proximity sensor — en automatisch op video opnemen van het slachtoffer en audio van beide kanten
De kwetsbaarheid van invloed op alle Google-handsets, inclusief die buiten de Pixel product lijn.
CNET: Demonstranten scan openbare gezichten in DC om aan te tonen ontbreken van gezichtsherkenning wetten
Google is op de hoogte van de onderzoekers’ bevindingen op 4 juli 2019, en zowel de PoC-app en een begeleidende video gestuurd werden een dag later. Feedback over Google ‘ s geloof het security probleem was alleen “lichte” later van overtuigd dat de tech-gigant te stoten het probleem op een “hoog” op de ernst van het probleem, en per 1 augustus Google registreerde het CVE en bevestigd dat andere leveranciers werden beïnvloed.
Een oplossing werd vervolgens uitgebracht, wat leidt tot openbaarmaking.
TechRepublic: Cybersecurity blijft de top zorg voor het midden van de markt bedrijven
“We waarderen Checkmarx om dit aan onze aandacht en werken met Google en Android-partners te coördineren openbaarmaking,” Google zei in een verklaring. “Het probleem werd aangepakt op getroffen Google-apparaten via een Play Store update voor de Google Camera-Applicatie in juli 2019. Een patch is ook beschikbaar gemaakt voor alle partners.”
Door augustus 29, Samsung, een van de betrokken leveranciers, bevestigde de kwetsbaarheid invloed te hebben op de onderneming handsets.
Een Samsung woordvoerder vertelde ZDNet:
“Sinds de kennisgeving van dit probleem door Google, hebben we vervolgens patches uitgebracht om alle Samsung-apparaat modellen die kunnen worden beïnvloed. Wij hechten waarde aan onze samenwerking met het Android-team die ons toegestaan om het identificeren en aanpakken van deze zaak direct.”
Vorige en aanverwante dekking
Aanvallers met behulp van WhatsApp MP4 video bestanden kwetsbaarheid kan op afstand uitvoeren van code
Android-malware vermomt als ad blocker, maar dan pesters gebruikers met advertenties
Schadelijke lifestyle apps vinden op Google Play, 30 miljoen installaties opgenomen
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 19 November 2019 — 12:26 GMT (12:26 GMT)
| Onderwerp: Security