Android: Geschlossene Sicherheitslücke in den Kamera-Apps von Google und Samsung offengelegt
von caschy | 6 Kommentare
Eine Sicherheitslücke (CVE-2019-2234) in den Kamera-Apps von Google und Samsung ermöglichte es potentiellen Angreifern angeblich, bei einigen Android-Smartphones (Pixel und Samsung-Geräte) die Kamera zu kapern, Foto-, Video- und Audioaufzeichnungen vorzunehmen und diese Clips ohne das Wissen des Nutzers auf einen externen Server hochzuladen.
Die Lücke wurde im Juli 2019 von der Cybersicherheitsfirma Checkmarx aufgedeckt und heute offengelegt. Google und Samsung haben die Sicherheitslücke nach eigenen Aussagen bereits geschlossen, wobei nicht bekannt ist, wie viele Nutzer konkret betroffen waren.
„Wir freuen uns, dass Checkmarx uns darauf aufmerksam macht und mit Google- und Android-Partnern zusammenarbeitet, um die Offenlegung zu koordinieren. Das Problem wurde auf betroffenen Google-Geräten über ein Play-Store-Update der Google-Camera-App im Juli 2019 behoben. Ein Patch wurde auch allen Partnern zur Verfügung gestellt.“
Allerdings scheint mal wieder viel Theorie dabei zu sein, die Macher sprechen von einer Malware-App, die erst einmal auf das Smartphone des Opfers gebracht und ausgeführt werden muss. Für den Angriff braucht es nämlich den Client-Teil, der eine bösartige Anwendung darstellt und auf einem Android-Gerät ausgeführt wird, und den Server-Teil, der den Command-and-Control-Server eines Angreifers darstellt.
Wird geladen ...
Was bin ich froh, dass ich ein Smartphone habe wo die Frontkamera erst ausgefahren werden muss um an solche Videos/Fotos zu kommen. Genau das, war einer der Gründe dafür.
Und?
Vollkommen unabhängig von der Art der Schadsoftware musst Du ihr erstmal die Berechtigung erteilen. Erst wenn eine Malware schafft diesen Mechanismus zu umgehen, mache ich mir Sorgen.
Im Übrigen kann eine solche Schadsoftware auch bei Dir aktiv sein. Was soll sie gehindert haben, wenn Du Deine tolle Kamera ausgefahren hast, unbemerkt zu agieren?
Genau genommen schützt Dich dieser Mechanismus vor gar nichts.
Dir ist schon klar, dass genau darin die Schwachstelle besteht: Die App braucht keine Berechtigung. Sie kann einfach auf die Kamera zugreifen, auch wenn das Telefon gesperrt ist.
Aber ja, eine Kamera, die mechanisch etwas macht, schützt natürlich bis zu gewissem.
Und die deutlich bessere Rückkamera…?
Was soll eine gehackte Kamera bringen, außer für kleinere Regime zur Überwachung der Bürger, also jene die nicht wie bei uns direkt Zugriffe auf die Systeme per eigenen Apps/stores/hacks haben!?
Aluhüte raus. Lol. Gehe mal davon aus, dass diese Schwachstelle bei genau 0 Geräten ausgenutzt wurde. So what? Problem erkannt und gefixt. ALles bgut.