Android の欠陥により、アプリケーションがスマートフォンのカメラとマイクを使用してユーザーを監視することができます。許可なく写真を撮ったり、ビデオを録画したり、会話を録音したりする可能性があります。データはユーザーが知らないうちにサードパーティのサーバーに直接転送されます。
Android には特定の権限が必要ですアプリケーションがスマートフォンのカメラとマイクにアクセスできるようにします。しかし、セキュリティ会社 Checkmarx の研究者によって特定された欠陥により、権限をバイパスし、ユーザーを密かにスパイすることが可能になります。参照が記載されているこの脆弱性CVE-2019-2234 Googleカメラをタッチする、サムスンカメラアプリ他のブランドのものの可能性もあります。概念実証として、Checkmarx は、Play ストアからダウンロードできる他の天気アプリと同様の天気アプリを開発しました。
インストールすると、次のことが可能になりました画面がオフのときでも写真を撮ったりビデオを録画したりできますまたはスマートフォンがロックされています。それ以外の場合、悪意のあるアプリケーションが閉じられると、シナリオは通常どおりに進行します。写真撮影時にフラッシュや音を発することなく、すべてが慎重に行われます。この欠陥により、写真やビデオのメタデータから GPS 位置情報を取得できるようになります。この脆弱性の影響を受けるコンポーネントはカメラだけではありません。
Checkmarx 氏によると、攻撃者は次のことも行うことができます。許可なくマイクにアクセスし、通話を録音するユーザーの周りで言われたすべてのこと。その後、データはサードパーティのサーバーに転送されます。最後に、SD カードに保存されているすべての JPG 写真または MP4 ビデオを一覧表示して復元することもできます。
こちらもお読みください –Android: セキュリティ上の欠陥により、すべての通話をスパイできる
Samsung と Google は修正プログラムを展開しました
Checkmarx は昨年 7 月に Google と Samsung にこの発見を報告した。 11月19日のレポート発表後、Googleは声明で「この問題はPlayストアに展開されたアップデートにより解決された」と述べた。修正版もすべてのパートナーが利用できるようになりました。」サムスンはまた、いつ適用されたかは明らかにせずに、すべてのスマートフォンにパッチを適用したと述べた。
Google と Samsung を除けば、レポートではこの脆弱性の影響を受ける可能性のある他のメーカーは特定されておらず、他のブランドも影響を受けることは確認されていません。いずれの場合も、Android デバイスの所有者は、最新のシステムとカメラ アプリのアップデートがインストールされていることを確認する必要があります。
ソース :チェックマークス