Exploit w aplikacji Aparat mógł służyć do szpiegowania użytkowników

Domyślna aplikacja Aparat w systemie Android miała lukę, którą wprawny włamywacz mógł wykorzystać do szpiegowania użytkowników.

Aplikacja Aparat jest preinstalowana w systemie Android, co oznacza, że znalazła się na wszystkich urządzeniach z tym systemem. Zespół badaczy znalazł sposób na to, aby dostać się do pamięci telefonu przy wykorzystaniu pozwolenia na korzystanie z aparatu przez inne aplikacje. Informacja ta została podana po zgłoszeniu problemu do Google, a więc w chwili obecnej nie trzeba się martwić, że ktoś będzie nas w ten sposób szpiegować. Na czym polegał exploit? Wykorzystywał udzielane przez użytkownika zezwolenie na dostęp do aparatu i multimediów w celu wykorzystania luki w oprogramowaniu, co pozwalało przejąć aplikację obsługującą aparat. Dzięki temu włamywacz mógł wykonywać nim w dowolnej chwili zdjęcia lub włączać nagrywanie materiałów wideo.

W niektórych przypadkach atakujący mógł wejść do pamięci oraz metadanych GPS znajdujących w EXIF plików wideo oraz zdjęć. Badacze z Checkmarx opublikowali w sieci filmik, na którym pokazują wykorzystanie tej metody do przejęcia aparatu i danych w smartfonie Pixel 2 XL. Oczywiście to tylko model przykładowy - inne telefony różnych producentów są również podatne na przejście. Cicha aktualizacja łatki nastąpiła w lipcu b.r., a informacja o niej została przekazana do producentów smartfonów. W chwili obecnej nie trzeba się już martwić tym problemem, aczkolwiek otwarte pozostaje pytanie, kto wiedział o takiej możliwości i z niej skorzystał?