Android Telefonlarındaki Zafiyet Yetkisiz Kamera Erişimine İzin Veriyor
Android kamera uygulamalarında, diğer uygulamaların video izlemesine, resim çekmesine ve gerekli izinlere sahip olmadan medyadan GPS verilerini çıkarmasına izin verebilecek yeni bir güvenlik açığı bulundu.
CVE-2019-2234 olarak bilinen bu güvenlik açığının Temmuz 2019’dan daha önce güncellememiş olmaları durumunda Google Kamera ve Samsung Kamera uygulamalarını etkilediği bilinmektedir.
Normalde, bir uygulamanın video kaydetmek, fotoğraf çekmek veya bir cihazın konumuna erişmek için ;
android.permission.CAMERA, android.permission.RECORD_AUDIO,
android.permission.ACCESS_FINE_LOCATION ve
android.permission.ACCESS_COARSE_LOCATION izinlerine sahip olması gerekir.
Bu güvenlik açığı, normalde iznine sahip olmayan uygulamalara izin vermektedir, bunlar:
-Telefon kilitli olsa veya ekran kapalı olsa bile fotoğraf ve video çekilmesi
-GPS konum verilerini depolanan fotoğraflardan çekilmesi
-Video kaydederken ve fotoğraf çekerken bile iki yönlü konuşmaların dinlenmesi. Cinsiyet tespitinin yapılması
-Kamera deklanşörünün susturulması, böylece fotoğraf çekildiğinden kullanıcının haberinin olmaması
Checkmarx, uygulamanın cihazın tüm SD kartına ve üzerinde depolanan ortama erişimini sağlayan ‘Depolama’ iznine sahip olan uygulamaların, bir uygulamaya yukarıda belirtilen izinler olmadan Google ve Samsung’la koordine edilmiş bir açıklamayla yeni bir güvenlik açığı bulduklarını açıkladılar.
Kaynak
