ثغرة جديدة بتطبيق كاميرا أندرويد ، صرحت جوجل وسامسونج بوجود ثغرة جديدة فى تطبيقات كاميرا مئات الملايين من أجهزة أندرويد، تعمل على السماح للتطبيقات بتسجيل فيديو وإلتقاط الصور واستخراج بيانات GPS من الوسائط، وذلك بدون الحصول على الأذونات المطلوبة.
كما قد قام باحثون من شركة تشيكماركس Checkmarx بالكشف عم ثغرة جديدة تسمح للتطبيقات بإلتقاط الصور، وتسجيل مقاط الفيديو سرا، والحصول على موقع الجهاز وغإن لم يكن لديهم أذونات للقيام بذلك، أو كان اجهاز مغلقا.
ثغرة جديدة بتطبيق كاميرا أندرويد يسمح بتسجيل الفيديو دون إذن
كما تعمل تلك الثغرة على التأثير على تطبيقي كاميرا جوجل Google Camera وكاميرا سامسونج Samsung Camera لو لم يتم تحديثها منذ شهر يوليو 2019.
وبإمكان أي تطبيق التحكم في تطبيق Google Camera، دون أذونات محددة، ويشمل ذلك التقاط الصور وتسجيل الفيديو، حتى لو تم إغلاق الجهاز المستهدف أو تم إيقاف تشغيل الشاشة، أو إذا كان الضحية يجري مكالمة هاتفية، وذلك وفقًا لشركة تشيكماركس.
وتوضح Checkmarx أن مصنعي الهواتف الذكية الآخرين ممن يستخدمون نظام التشغيل أندرويد، أي سامسونج، كانوا كذلك عرضة للخطر، ولذلك فمن الممكن أن يكون مئات الملايين من المستخدمين النهائيين عرضة للاستغلال.
ويقوم تطبيق كاميرا أندرويد عادة بتخزين الصور ومقاطع الفيديو على بطاقة SD، ولذلك فالتطبيقات التي تتطلب الوصول إلى هذا المحتوى، تتطلب أذونات تخزين، لكن أذونات التخزين واسعة جدًا وتمنح هذه الأذونات الوصول إلى بطاقة SD بالكامل.
وقد قام الباحثون بالتأكيد على أنه يوجد عدد كبير من التطبيقات، مع حالات استخدام مشروعة، تطلب الوصول إلى هذا التخزين، لكن ليس لها مصلحة خاصة في الصور أو مقاطع الفيديو.
كما قد قرر الفريق استخدام مجموعة الأذونات كأداة للهجوم، فلو تم منح تطبيق ضار حق الوصول إلى بطاقة SD، فسيصبح قادرًا على الوصول إلى الصور ومقاطع الفيديو، إلى جانب ضمان إجبار تطبيق الصور على التقاط صور ومحتوى فيديو جديد.
وقد أوضح الباحثون أنهم بإمكانهم تسجيل صوت المتلقي بسهولة، أثناء المكالمة، إلى جانب إمكانية تسجيل صوت المتصل أيضًا، كما يمكن للمهاجمين من الناحية النظرية تحليل البيانات للتعرف على مكان المستخدم، وذلك تبعًا إلى أنه يجري تسجيل بيانات تعريف GPS ودمجها في الصور في كثير من الأحيان.
