Πώς λειτουργεί η ευπάθεια
Σύμφωνα με την Checkmarx, το σφάλμα επιτρέπει σε μη εξουσιοδοτημένες εφαρμογές να καταγράφουν βίντεο, φωτογραφίες, ήχο, ακόμη και την τοποθεσία του χρήστη μέσω GPS. Μάλιστα, αν ο χρήστης έχει δώσει στην εφαρμογή άδεια πρόσβασης στον αποθηκευτικό χώρο, αυτή μπορεί να ανεβάσει τα δεδομένα σε έναν απομακρυσμένο διακομιστή.
Αυτό είναι δυνατό λόγω του τρόπου με τον οποίο χειρίζεται τα δικαιώματα των εφαρμογών το Android. Από το Marshmallow, το Android χρησιμοποιεί αναδυόμενα παράθυρα για τη λήψη δικαιωμάτων χρήσης, για την κάμερα, το μικρόφωνο, και τα λοιπά.
Για άγνωστο μέχρι στιγμής λόγο, οι εφαρμογές κάμερας στις επηρεαζόμενες συσκευές δεν εμφάνισαν τα σχετικά αναδυόμενα παράθυρα και δεν ζήτησαν τα απαραίτητα δικαιώματα χρήσης. Έτσι, οι εισβολείς θα μπορούσαν να εκμεταλλευτούν αυτή την ευπάθεια για να κατασκοπεύουν τους χρήστες των συσκευών.
Σύμφωνα με την Checkmarx, το σφάλμα επιτρέπει σε μη εξουσιοδοτημένες εφαρμογές να καταγράφουν βίντεο, φωτογραφίες, ήχο, ακόμη και την τοποθεσία του χρήστη μέσω GPS. Μάλιστα, αν ο χρήστης έχει δώσει στην εφαρμογή άδεια πρόσβασης στον αποθηκευτικό χώρο, αυτή μπορεί να ανεβάσει τα δεδομένα σε έναν απομακρυσμένο διακομιστή.
Αυτό είναι δυνατό λόγω του τρόπου με τον οποίο χειρίζεται τα δικαιώματα των εφαρμογών το Android. Από το Marshmallow, το Android χρησιμοποιεί αναδυόμενα παράθυρα για τη λήψη δικαιωμάτων χρήσης, για την κάμερα, το μικρόφωνο, και τα λοιπά.
Για άγνωστο μέχρι στιγμής λόγο, οι εφαρμογές κάμερας στις επηρεαζόμενες συσκευές δεν εμφάνισαν τα σχετικά αναδυόμενα παράθυρα και δεν ζήτησαν τα απαραίτητα δικαιώματα χρήσης. Έτσι, οι εισβολείς θα μπορούσαν να εκμεταλλευτούν αυτή την ευπάθεια για να κατασκοπεύουν τους χρήστες των συσκευών.
Ποια η δράση της Google και της Samsung
Η Checkmarx υπέβαλε αναφορά για την ευπάθεια στην ομάδα ασφαλείας του Android τον Ιούλιο. Τον Αύγουστο, η Google και η Checkmarx επικοινώνησαν με πολλούς κατασκευαστές σχετικά με την ευπάθεια, και η Samsung επιβεβαίωσε ότι οι συσκευές της έχουν επηρεαστεί.
Τελικά, η Google και η Samsung κυκλοφόρησαν ειδική ενημέρωση λογισμικού η οποία επιλύει το πρόβλημα. Οπότε, οι κάτοχοι των Pixel και Galaxy είναι απόλυτα ασφαλείς. Όσον αφορά τις συσκευές των υπόλοιπων κατασκευαστών, δεν έχει γίνει ακόμη γνωστό κάτι συγκεκριμένο.
Η Checkmarx υπέβαλε αναφορά για την ευπάθεια στην ομάδα ασφαλείας του Android τον Ιούλιο. Τον Αύγουστο, η Google και η Checkmarx επικοινώνησαν με πολλούς κατασκευαστές σχετικά με την ευπάθεια, και η Samsung επιβεβαίωσε ότι οι συσκευές της έχουν επηρεαστεί.
Τελικά, η Google και η Samsung κυκλοφόρησαν ειδική ενημέρωση λογισμικού η οποία επιλύει το πρόβλημα. Οπότε, οι κάτοχοι των Pixel και Galaxy είναι απόλυτα ασφαλείς. Όσον αφορά τις συσκευές των υπόλοιπων κατασκευαστών, δεν έχει γίνει ακόμη γνωστό κάτι συγκεκριμένο.
