Создатель мессенджера Telegram Павел Дуров призвал всех пользователей мессенджера WhatsApp удалить его со своих смартфонов.
В своем телеграм-канале Дуров рассказал, что WhatsApp делает информацию на смартфоне уязвимой для хакеров и государственных служб безопасности. По его словам, они могут получить доступ ко всем данным, прислав видео адресату.
Дуров убежден, что новые уязвимости этой программы будут использовать для нарушения прав журналистов и правозащитников, а США будут передавать полученную информацию спецслужбам других стран.
В мае этого года стало известно, что хакеры смогли устанавливать слежку за пользователями с помощью звонков.
Источник: interfax.ru
Ошибка приложений камеры в Android позволяет записывать видео без разрешения
Приложения Android могут предоставлять различные свои функции вроде возможности делать снимки другим приложениями на устройстве, но это требует получения необходимых разрешений. Исследователи из Checkmarx в координации с Google и Samsung раскрыли информацию об уязвимости, которая позволяла приложениям делать снимки, записывать видео и определять местоположение устройства, даже если у них нет на это разрешений. Известно, что уязвимость, известная как CVE-2019-2234, затрагивает все приложения Google Camera и Samsung Camera до июля 2019 года.
Проанализировав приложение камеры в Google Pixel, исследователи Checkmarx обнаружили многочисленные функции, которые можно объединить, чтобы манипулировать камерой устройства, делать снимки и записывать видео. Обычно приложение должно иметь разрешения android.permission.CAMERA, android.permission.RECORD_AUDIO, android.permission.ACCESS_FINE_LOCATION и android.permission.ACCESS_COARSE_LOCATION для записи видео, фотографирования или доступа к местоположению устройства.
Специалисты Checkmarx обнаружили, что приложения, имеющие разрешение просто на хранение данных (оно даёт ПО доступ к накопителю устройства и карте памяти) с помощью открытых функций приложения «Камера» могут осуществлять съёмку фото и видео без получения дополнительных разрешений.
«Вредоносное приложение, работающее на смартфоне Android, которое может считывать данные с карты SD, не только имеет доступ к прошлым фотографиям и видео, но и с помощью этой новой методологии атаки может быть направлено на инициирование (снятие) новых фотографий и видео по запросу. Но это ещё не всё. Так как метаданные GPS обычно встраиваются в фотографии, злоумышленник может воспользоваться этим фактом, чтобы также определить местонахождение пользователя, сделав фотографию или видео и проанализировав соответствующие данные EXIF», — написали специалисты.
Что ещё хуже, исследователи создали работающее приложение, которое маркируется под приложение погоды, но тихо отправляет записи изображений, видео и телефонных звонков обратно на демонстрационный сервер, в том числе по удалённому запросу. В общем, уязвимость весьма опасна, поскольку она позволяет обычным приложениям, не имеющим особых разрешений, следующее:
- делать снимки и видеоролики, даже если телефон заблокирован или экран выключен;
- получать данные о местоположении GPS из сохранённых фотографий;
- слушать двусторонние разговоры, даже когда записывается видео и фотографии;
- выключать звук затвора камеры, чтобы жертва не слышала съёмку;
- передавать старые видео и фотографии, хранящиеся на карте памяти.
Checkmarx раскрыла эту уязвимость Android 4 июля 2019 года, а к 23 июля Google пометила эту уязвимость высоким приоритетом. 1 августа компания подтвердила подозрения исследователей о том, что уязвимость затронула приложения камер других производителей смартфонов Android, и выпустила заплатку CVE-2019-2234. По словам Google, эта уязвимость в приложении «Камера» была исправлена в июле 2019 года с помощью обновления в Google Play Store, и заплатки были выпущены для других поставщиков. Всем пользователям настоятельно рекомендуется перейти на последнюю версию Android и убедиться, что используется обновлённое приложение «Камера».
Источник: 3dnews.ru