Ett säkerhetsfel i Android OS gör det möjligt för oseriösa appar att kapa en användares smarttelefonkamera och ta bilder, spela in video, ljud och ladda upp dessa filer till en extern server - allt utan användarnas vetskap, även när telefonen är låst!
Cybersäkerhetsföretaget Checkmarx avslöjade dessa brister redan i juli, men resultaten publicerades igår. Medan Google och Samsung har korrigerat denna Android-fel i sina enheter är andra smartphones som använder Android OS fortfarande sårbara för den.
Så det är fullt möjligt att hundratals miljoner smarttelefonanvändare kunde ha varit utsatta för exploatering. Checkmarx avslöjade fel i CVE-2019-2234, som härrör från tillstånd för förbikoppling.
Hur fungerar Android-felet?
Google är strikt när det gäller att bevilja behörighet till mobilappar för åtkomst till kamera, mikrofon eller platstjänster. Därför måste användare acceptera begäranden om tillstånd, men i det här fallet kunde Checkmarx kringgå det.
Kameraappen på Android lagrar vanligtvis bilder och videor på ett SD-kort, och det är därför appar kräver lagringstillstånd.
Lagringsbehörigheterna är dock mycket breda och dessa behörigheter ger åtkomst till hela SD-kortet. Om en skadlig app beviljas åtkomst till SD-kortet i Checkmarx angreppsscenario, kan den inte bara komma åt tidigare foton och videor utan också tvinga fotoappen att ta nya bilder och videor.
Vad som gör det värre är att GPS-metadata ofta är inbäddade i bilder, så en angripare kan i princip analysera dessa data för att spåra en användares plats också. Utöver detta kunde forskarna spela in samtalets och mottagarens röst under samtalet.
Håll dina Android-enheter uppdaterade
Checkmarx skickade in denna sårbarhetsrapport till Androids säkerhetsteam på Google i juli. I augusti kontaktade både Google och Checkmarx olika smarttelefontillverkare angående sårbarheten, och Samsung bekräftade att det påverkades.
Nu har Google också bekräftat detsamma och släppt en korrigeringsfil för denna kamerafel till Android-partner. Vi har inte ett exakt antal hur många enheter som har påverkats av detta problem, eller om de har fått korrigeringsfilen ännu - och detta antal kan falla i miljoner.
Men vi vet att Google och Samsung har korrigerat den här felet, och alla Android-användare bör installera säkerhetsuppdateringar så snart de får den.
Läs också: NextCry Ransomware krypterar filer på NextCloud Linux-servrar