Специалисты из компании Checkmarx, специализирующейся на кибербезопасности и поиске уязвимостей, нашли в ПО некоторых смартфонов неприятный баг. Он позволяет получить удалённый доступ к камере без ведома пользователя.
Уязвимость под названием CVE-2019-2234 изначально обнаружили в стандартной камере Pixel 2 XL и Pixel 3. Схожие проблемы после нашли и в фирменном ПО смартфонов Samsung. Эксперты отмечают, что «баг угрожал безопасности сотням миллионов пользователей».
Этот баг позволяет удалённо делать фото и видео и отправлять их злоумышленникам. Приложение при этом работает в фоне, и пользователь ни о чём не подозревает. Также уязвимость открывает доступ к фото и видео в галерее устройства, позволяет записывать телефонные разговоры и получать данные геолокации. Предполагается, что для этого использовали брешь в правах доступа «Google Ассистента», заражались устройства при установке приложений из непроверенных источников.
Checkmarx отчёт о баге отправили Google. После подробной проверки выяснилось, что проблема касается не только Pixel, но любых смартфонов, на которых установлена «Google Камера».
Проблему исправили с выходом патча для Камеры Google в июле, Samsung выпустила заплатку в августе. О существовании угрозы стало известно только сейчас. Если на вашем смартфоне отключены обновления приложений, убедитесь, что у вас стоит актуальная версия камеры.