Androidの脆弱性により、マルウェアがビデオを録画?

2019/11/24 セキュリティーニュース
logo

脆弱性により、マルウェアは適切な許可なしにカメラアプリケーションを制御できます。

 

Checkmarxのセキュリティ研究部長であるErez Yalon氏は、GoogleとSamsungのモバイルデバイスに、CVE-2019-2234の下で組み合わされた多くの脆弱性を発見しました。

 

Google Pixel 2 XLおよびPixel 3デバイスのカメラセキュリティの調査で、Checkmarxチームは、許可なく特定の機能を制御できるGoogleのカメラアプリの脆弱性を発見しました。

 

一般に、CVE-2019-2234では、デバイスがロックされ、画面がオフになっていて、ユーザーが電話で話している場合でも、写真やビデオの撮影など、適切な許可なしにすべてのアプリケーションがカメラアプリケーションを制御できます。  Googleに加えて、専門家によると、問題はSamsungを含む他のAndroidデバイスのメーカーにも影響します。

 

Googleは、カメラ、マイク、位置情報サービスなどの機密機能へのアプリケーションアクセスを制限しています。 それらにアクセスするには、まず適切な許可を取得する必要があります。 ただし、研究者が発見した脆弱性により、これらの制限を回避することが可能です。

 

Android OSのカメラアプリケーションは通常、写真をSDカードに保存するため、他のアプリケーションはSDカードへのアクセスを要求してそれらにアクセスします。  「残念ながら、この解決策にはさまざまなアクションがあり、SDカード全体にアクセスできます。 リポジトリへのアクセスを要求する正当なアプリケーションは多数ありますが、動作するために画像やビデオへのアクセスは要求されません。 実際、これは最もリクエストの多い許可の1つです」と研究者は述べています。

 

専門家が攻撃ベクトルとして使用することにしたのは、この許可でした。悪意のあるアプリケーションがSDカードへのアクセスを許可された場合、写真やビデオへのアクセスを取得するだけでなく、脆弱性により、写真アプリケーションが新しい写真やビデオを撮影することも強制されることが判明しました。

 

「会話中のユーザーの声と発信者の声の両方を簡単に録音できました。Googleカメラアプリは外部アプリによって完全に制御されるべきではないため、これは望ましくないアクティビティです」と研究者は警告しました。

 

研究者は今年7月に問題についてGoogleに通知した。 当初、同社は中程度の危険性の脆弱性を検討していましたが、非常に危険であると認識し、CVEを登録してパッチを発行しました。

 

記事提供元: http://www.securitylab.ru
翻訳: Kazunori Yoshida