ComputersHowto
Eine Sicherheitslücke im Android-Betriebssystem ermöglicht es betrügerischen Apps, die Smartphone-Kamera eines Benutzers zu entführen und Bilder aufzunehmen, Videos und Audiodaten aufzunehmen und diese Dateien auf einen externen Server hochzuladen - alles ohne Wissen des Benutzers, selbst wenn das Telefon gesperrt ist!
Das Cybersicherheitsunternehmen Checkmarx hat diese Mängel bereits im Juli aufgedeckt, die Ergebnisse wurden jedoch gestern veröffentlicht. Während Google und Samsung diesen Android-Fehler auf ihren Geräten behoben haben, sind andere Smartphones, die Android OS verwenden, immer noch anfällig dafür.
Es ist also durchaus möglich, dass Hunderte Millionen von Smartphone-Nutzern anfällig für Exploits waren. Checkmarx hat die Fehler in CVE-2019-2234 offengelegt, die sich aus Problemen mit der Umgehung von Berechtigungen ergeben.
Wie funktioniert der Android-Fehler??
Google ist streng, wenn es darum geht, mobilen Apps Berechtigungen für den Zugriff auf Kamera-, Mikrofon- oder Ortungsdienste zu erteilen. Daher müssen Benutzer Berechtigungsanforderungen akzeptieren, aber in diesem Fall konnte Checkmarx diese umgehen.
Die Kamera-App unter Android speichert normalerweise Bilder und Videos auf einer SD-Karte. Aus diesem Grund benötigen Apps Speicherberechtigungen.
Die Speicherberechtigungen sind jedoch sehr weit gefasst, und diese Berechtigungen ermöglichen den Zugriff auf die gesamte SD-Karte. Wenn im Angriffsszenario von Checkmarx einer böswilligen App Zugriff auf die SD-Karte gewährt wird, kann sie nicht nur auf vorherige Fotos und Videos zugreifen, sondern die Foto-App auch dazu zwingen, neue Bilder und Videos aufzunehmen.
Was es noch schlimmer macht, ist, dass GPS-Metadaten häufig in Bilder eingebettet sind, sodass ein Angreifer diese Daten grundsätzlich analysieren kann, um auch den Standort eines Benutzers zu verfolgen. Darüber hinaus konnten die Forscher die Stimme des Anrufers und des Empfängers während des Anrufs aufzeichnen.
Halten Sie Ihre Android-Geräte auf dem neuesten Stand
Checkmarx hat diesen Schwachstellenbericht im Juli an das Sicherheitsteam von Android bei Google übermittelt. Im August kontaktierten sowohl Google als auch Checkmarx verschiedene Smartphone-Hersteller bezüglich der Sicherheitsanfälligkeit, und Samsung bestätigte, dass diese betroffen war.
Jetzt hat Google dies ebenfalls bestätigt und Android-Partnern einen Patch für diesen Kamerafehler zur Verfügung gestellt. Wir wissen nicht genau, wie viele Geräte von diesem Problem betroffen sind oder ob sie den Patch bereits erhalten haben - und diese Zahl kann in Millionen fallen.
Wir wissen jedoch, dass Google und Samsung diesen Fehler behoben haben und alle Android-Benutzer Sicherheitsupdates installieren sollten, sobald sie diese erhalten.
Lesen Sie auch: NextCry Ransomware verschlüsselt Dateien auf NextCloud Linux-Servern
