Google ve Samsung telefonlarının kamera uygulamaları, bilgisayar korsanları tarafından yüz milyonlarca kullanıcıyı gözetlemek için kullanılabilecek ciddi güvenlik açıklarına maruz kaldı. Güvenlik açığı sayesinde, bilgisayar korsanları fotoğraf çekmek, video kaydetmek, sesli aramaları kaydetmek ve hatta kullanıcının konumunu izlemek için kurbanın telefonunu kullanabilir. Telefon hala güvende mi? AI ünlüleriyle tartışmak için Xinzhiyuan AI arkadaş çevresine gelin. Kimin izlediğini bilmeden sürekli izleniyor olabilirsiniz.
Kameralar, bir eklentiden bir telefona yükseltildi ve hayatı belgelemek için bir yol haline getirildi. Altın ginkgo ormanı, dallardaki ilk kar ve arkadaşlarla toplanan güveç karşısında hepimiz cep telefonlarımızı çıkarıyoruz, fotoğraf çekmek için kamerayı açıyoruz veya izlediğimiz kanallar haline gelen vlog'lar kaydediyoruz, dünyayı kaydedin ve ifade edin.
Ancak telefonunuzun kamerası siz farkına bile varmadan hayatınızı izlemek için açıldıysa, bu günümüz Truman Dünyası olabilir.
Şimdi bu eğer, gerçek olma ihtimali çok az. Basında çıkan haberlere göre, Checkmarx'ın güvenlik araştırma ekibi Android telefonlarda bir güvenlik açığı keşfetti.Saldırganlar telefonun depolama alanına erişerek Android izinlerini atlayabilir ve kullanıcının izni olmadan uzaktan fotoğraf çekmek ve kayıt yapmak için telefonu uzaktan kontrol edebilir.Video, konuşmaları izleyin.
Araştırma ekibi boşluklar olduğunda boşluklar olduğunu söylüyor mu? Alarmist mi? İlk olarak, Checkmarx'ın güvenlik araştırma ekibinin arkasında ne olduğuna bir göz atalım.
Checkmarx, İsrailli bir yüksek teknoloji yazılım şirketidir ve dünyanın en ünlü kaynak kodu güvenlik tarama yazılımı olan Checkmarx CxSuite'in üreticisidir. Checkmarx, Uygulama Güvenliği Testi için 2019 Gartner Magic Quadrant'ta Lider olarak aday gösterildi, Cyber Defense Magazine'in Uygulama Güvenliğinde Pazar Lideri kategorisinde 2019 Infosec Ödülü'nü kazandı ve Yılın Uygulama Güvenliği Çözümü ödülünü kazandı.
Güvenlik araştırma ekibinin Amazon'un Alexa, Tinder, LeapFrog LeapPad ve diğer ürünleri üzerindeki son teknoloji yazılım güvenlik açığı araştırması, "Good Morning America", "Consumer Reports" ve "Fortune" gibi tanınmış medya tarafından bildirilerek endüstrinin dikkatini çekti.
Bu kez, Checkmarx'ın güvenlik araştırma ekibi, saldırganların kullanıcı izinlerini atlamasına izin veren sorunlar nedeniyle Google Pixel 2XL ve Pixel 3 telefonlardaki Google Kamera uygulamasında (Google Kamera) birkaç güvenlik açığı keşfetti. Ayrıca Samsung kamerasında da bu güvenlik açığı bulunuyor.
Daha önce araştırma ekibi, Amazon'un Alexa ve Tinder'ında da bu sorunun olduğunu açıklamıştı. Sadece Google ve Samsung telefonlarının erişimi düşünüldüğünde, bu güvenlik açıkları yüz milyonlarca kullanıcıyı etkileyebilir, hatta onları tehdit edebilir.
CVE-2019-2234 olarak adlandırılan güvenlik açığı, kötü niyetli bir uygulamanın kamera, mikrofon ve GPS konum verilerinden uzaktan girdi almasına izin veriyor. Bunu yapabilmenin sonuçları o kadar şiddetlidir ki, Android Açık Kaynak Projesi (AOSP), herhangi bir uygulamanın bu tür işlemleri etkinleştirmeden önce kullanıcıdan talep etmesi ve izin alması gereken özel bir dizi izine sahiptir.
Checkmarx'taki araştırmacıların yaptığı, bu izinleri atlamak için Google Kamera uygulamasının kendisini kötüye kullanan bir saldırı senaryosu oluşturmaktı. Bunu yapmak için, en sık istenen izinlerden birini kullanan kötü amaçlı bir uygulama oluşturdular: depolama erişimi.
Yalon, "Bir Android akıllı telefonda çalışan bu kötü amaçlı uygulama SD kartı okuyabilir" dedi. istediğin zaman yeni fotoğraflar ve videolar çek."
Kötü amaçlı uygulama, telefonun video kaydını sessizce başlatır
Kötü amaçlı uygulama aramaları uzaktan kaydeder
Saldırganlar Google Kamera uygulamasındaki güvenlik açıklarından nasıl yararlanabilir?
Checkmarx, kötü amaçlı bir uygulama geliştirerek bir kavram kanıtı (PoC) açığı yarattı. Bu, Google Play Store'da her zaman popüler olan bir hava durumu uygulamasıdır. Temel depolama erişim izinlerinin yanı sıra, bu uygulama herhangi bir özel izin gerektirmez. Uygulamanın kullanıcıyı alarma geçirmesi pek olası değildir, çünkü yalnızca bu kadar basit, sıradan bir izin istenmesi gerekir. Ne de olsa insanlar, tek bir ortak izin talebini değil, gereksiz, geniş izin isteklerini sorgulamaya alışkındır.
Ancak, bu uygulama zararsız olmaktan uzaktır. Akıllı telefonda çalışan bir istemci uygulaması ve saldırganın komutlarını yürütmek için ona bağlanan bir komut ve kontrol sunucusu olmak üzere iki bölüme ayrılmıştır.
Uygulama yüklenip başlatıldığında, komuta ve kontrol sunucusuna kalıcı bir bağlantı oluşturur ve ardından talimatları bekler. Uygulamayı kapatmak sunucu bağlantısını kapatmaz.
Saldırgan hangi komutları gönderebilir ve hangi eylemlerle sonuçlanabilir? Bu uzun liste sizi ürpertebilir:
Bilgiler, her iki şirketin de güvenlik açığı için yamalar yayınladığından emin olmak için son günlerde Google ve Samsung tarafından ortaklaşa yayınlandı. Ancak güvenlik açığının açıklanması, Checkmarx'ın Google'ın Android güvenlik ekibine bir güvenlik açığı raporu göndermesiyle 4 Temmuz'da başladı.
13 Temmuz'da Google, güvenlik açığının önem derecesini başlangıçta orta olarak belirledi, ancak Checkmarx'tan gelen daha fazla geri bildirimden sonra, önem derecesi 23 Temmuz'da "yüksek" olarak düşürüldü.
1 Ağustos'ta Google, güvenlik açıklarının daha geniş Android ekosistemini etkilediğini doğruladı ve diğer akıllı telefon üreticileri de etkilendi ve CVE-2019-2234'ü yayınladı.
18 Ağustos'ta Google birden fazla satıcıyla iletişime geçti; 29 Ağustos'ta Samsung, güvenlik açığının cihazlarını etkilediğini doğruladı.
Google, sağlanan yama ile yanıt veriyor, güvenlik uzmanı: 'Bu sadece çene düşüyor'
Google'ın yanıtı: Tüm ortaklara sağlanan yama
Medya tarafından iletişime geçildikten sonra bir sözcü şunları söyledi: "Bizi bu güvenlik açığı konusunda uyardığı ve ifşayı koordine etmek için Google ve Android'deki ortaklarla birlikte çalıştığı için Checkmarx'a minnettarız. Temmuz 2019'da Google Play Store sürümü aracılığıyla. Kamerada bir güncelleme uygulaması, etkilenen Google telefonlarındaki sorunu çözdü. Ayrıca yamayı tüm ortakların kullanımına sunduk."
Ancak, güvenlik açığının açıklanması, hem Google hem de Samsung yamaları yayınlayana kadar ertelendi, bu nedenle kamera uygulamasının en son sürümüne sahipseniz, bir saldırı tehdidinden kaçınmak için en son sürüme güncellediğinizden emin olun.
Ayrıca, Android işletim sisteminin en son sürümüne güncelleyin, telefonunuzun mevcut en son güvenlik yamalarına sahip olduğundan emin olun ve riski azaltmak için cihazınız için kamera uygulamasının en son sürümünü kullanmanızı tavsiye edin.
Güvenlik uzmanlarının güvenlik açığının ciddiyeti ve daha geniş akıllı telefon güvenliğini nasıl etkileyeceği hakkında söyleyecekleri.
Thornton-Trump şunları söyledi: "Kamera uygulamasının ne kadar savunmasız olduğuna dair bu raporu okuduğumda çenem düştü. Kulağa bir hata gibi gelmiyor, daha çok tam özellikli casus yazılım içeren üst düzey bir sürüm gibi. Kalıcı Tehdit (APT) "
Aslında Thornton-Trump, güvenlik araştırmacıları siyah şapkalı olsaydı, bu araştırmadan yüz binlerce dolara kolayca para kazanabileceklerini fark etti. "Checkmarx'taki araştırmacıların mükemmel çalışması ve dürüstlüğü sayesinde, tüm Android kullanıcıları artık daha güvende" dedi.
Thornton-Trump, Google'ın yakında bir yama yayınlamasından memnun oldu, ancak güvenlik açığının ciddiyeti ve genişliği nedeniyle, "Google'ın 'Project Zero'nun bazı yeteneklerinin Android işletim sisteminin derinliklerine inmesine izin vermenin zamanı geldiğini söyledi. "
"İfşa edilen çok sayıda Android güvenlik açığının Android markasına zarar verdiğine şüphe yok. Yakın zamanda ortaya çıkan "beyaz ölüm ekranı" sorunu da şirketin itibarı için iyi değil. Google'ın, kullanıcıların güvenlik ve gizliliğe güvenmesini sağlamak için daha fazlasını yapması gerekiyor. Bu arada korunmaya ihtiyacı olan herkesin sistemlerini bir an önce güncellemesi gerekiyor. Cihazın eskimesi veya üretici desteğinin olmaması nedeniyle cihazınızı güncelleyemiyorsanız yeni bir cihaz alma zamanı gelmiş demektir. "