Исследовательская группа по безопасности Checkmarx обнаружила несколько уязвимостей, затрагивающих смартфоны Google и Samsung, которые могут позволить злоумышленнику получить контроль над приложением камеры устройства, чтобы удаленно делать фотографии, записывать видео и даже шпионить за разговорами и местоположением пользователей. Первоначально команда начала поиск приложения Google Camera на Pixel 2XL и Pixel 3, когда обнаружила несколько уязвимостей, возникающих из-за разрешений, предотвращающих проблемы. Компания Checkmarx провела дальнейшее расследование и обнаружила, что эти же уязвимости также затрагивают приложение камеры Samsung и других производителей смартфонов Android. Педро Умбелино, директор по исследованиям безопасности в Checkmarx, Эрез Ялон и старший исследователь безопасности, объясняет в блоге, как им удалось использовать вредоносное приложение, чтобы получить контроль над приложением Google Camera. , следующим образом: «После детального анализа приложения Google Camera наша команда обнаружила, что, манипулируя конкретными действиями и намерениями, злоумышленник может управлять приложением, чтобы делать фотографии и/или записывать видео». через неавторизованное приложение, не имеющее необходимых разрешений. Кроме того, мы обнаружили, что некоторые сценарии атак позволяли злоумышленникам обходить различные правила авторизации хранилища, предоставляя им доступ к сохраненным видео и фотографиям, а также метаданным GPS, встроенным в фотографии, чтобы определять местонахождение пользователя, делая фото или видео и анализируя соответствующий контент. EXIF-данные. Тот же метод применим и к приложению Samsung Camera. "