A Checkmarx biztonsági kutatócsoportjának komoly múltja van a riasztó sebezhetőségek felderítésének területén, elég csak az Amazon Alexa és a Tinder közelmúltbeli eseteit felidézni, és most ismét belenyúltak. A Google és a Samsung okostelefonokat valamint az Android rendszert érintő sebezhetőség felfedezése, ami több százmillió Android-felhasználót érint? Ez bizony a rangos trófeák között is kiemelkedő teljesítmény. De mit is találtak pontosan a kutatók? Ó, nem vészes a dolog. A rosszindulatú támadó csupán a telefonunk kameráját használó alkalmazások irányítását képes átvenni, fényképeket vagy videókat készíthet a telefonunkkal tudtunk nélkül, lehallgathatja a beszélgetéseinket, rögzítheti azokat is, megtudhatja ezek mellé a tartózkodási helyünket, ilyesmi. Mindezt persze csendesen, a háttérben, észrevétlenül.

Pajzsmolekulák a résben

Amikor a Checkmarx biztonsági kutatócsoport elkezdte vizsgálni a Google Kamera szoftverét, a kezükben lévő Pixel 2XL és Pixel 3 okostelefonokon számos biztonsági rést találtak. A bajt az olyan megoldások jelentették, amelyek lehetővé tették a támadó számára, hogy megkerülje a felhasználói engedélyeket.

"Csapatunk módot talált rá, hogy bármely alkalmazás számára külön engedélyek nélkül lehetővé tegye a Google Kamera alkalmazásának vezérlését. Ugyanezt a technikát gond nélkül alkalmazni tudtuk a Samsung Kamera alkalmazásában is”

- mondta Erez Yalon, a Checkmarx biztonsági kutatási igazgatója.

A sérülékenységek (CVE-2019-2234) lehetővé tették egy rosszindulatú alkalmazás számára, hogy adatokat nyerjen a kamerából, a mikrofonból és a GPS helymeghatározó adataiból. A Checkmarx kutatói kísérletükben a Google Camera alkalmazást használták a felhasználói engedélyek megkerülésére. Ezt úgy érték el, hogy rosszindulatú alkalmazást hoztak létre, amely kihasználta az egyik leggyakrabban igényelt engedélyt: a tárterület hozzáférést. "Ez egy olyan rosszindulatú alkalmazás, amely Android okostelefonon fut és képes olvasni az SD-kártyát, valamint hozzáféréssel rendelkezik a múltbeli képekhez és videókhoz, sőt ezzel az új támadási módszertannal újakat is készíthet” - mondta Yalon.

Hogyan támadnak a hekkerek?

A Checkmarx tehát létrehozta a Proof of Concept alkalmazást (PoC) azaz a koncepció bizonyítékát. Ez egy időjárásjelentő app lett, mivel a kategória régóta töretlenül népszerű a Google Play Áruházban. Az alkalmazás nem igényelt külön engedélyeket, kivéve az alapvető tárterület hozzáférést. Ha csak ezt az egyetlen szokásos engedélyt kéri az alkalmazás, nem valószínű, hogy gyanút fogna a felhasználó, hiszen ezt majd minden alkalmazás kéri.

Általában a szükségtelennek ítélt vagy túl sokrétű app-engedélykéréseket kérdőjelezzük meg, nem pedig az egyetlen dologra vonatkozó, általános kérelmet. És milyen rosszul tesszük.

A PoC alkalmazás messze nem volt ártalmatlan és két részből állt: az okostelefonon futó kliens-alkalmazásból és egy olyan parancs- és vezérlő-szerverből, amely utasításokkal látta el a (telefonunkon figyelő) kliensprogramot. Az alkalmazás telepítése és elindítása után állandó kapcsolatot létesített a vezérlő-szerverrel majd várta az említett utasításokat. Az app bezárása  - ugye kitalálják - nem állította le ezt a szerverkapcsolatot. De milyen utasításokat küldhet a potenciális támadó, és mi történhet utána? Remélem ülnek, mert hosszú és

Tragikus a lista.

• Készítsen fényképet az okostelefon-kamerával, és töltse fel a parancs-kiszolgálóra.
• Rögzítsen videót az okostelefon-kamerával, és töltse fel a parancs-kiszolgálóra.
• Várja meg a hanghívás megkezdését. Az okostelefon közelségérzékelőjének megfigyelésével meghatározhatja, mikor tartja a telefont a fülnél, és rögzítse a hangot a beszélgetés mindkét oldaláról.
• A megfigyelt hívások során a támadó a videó rögzítésével egyidejűleg videót is rögzíthet a felhasználóról.
• Készítsen GPS-címkéket az összes elkészített fotóról, és használja ezeket a tulajdonos globális térképen való megkereséséhez.
• Hozzáférés és másolás az összes tárolt fénykép- és videó információhoz, valamint a támadás során rögzített képekhez.
• Állandóan működjön (elnémítja az okostelefont fényképezés és videó felvétel közben, így a kamera riasztása nem szól, hogy figyelmeztesse a felhasználót.)
• A fénykép- és videofelvételi tevékenységet el lehet indítani függetlenül attól, hogy a képernyőzár fel volt-re oldva.

A Google nyarának 17 pillanata

A hibát feltáró tegnapi sajtóközlemény a Google és a Samsung egyeztetett, összehangolt akciója volt, hogy mindkét vállalat "még időben" kiadhassa javításait a biztonsági résekre. A színfalak mögötti események mindazonáltal még július 4-én elkezdődtek, amikor a Checkmarx sebezhetőségi jelentést nyújtott be a Google Android biztonsági csapata számára. Július 13-án a Google kezdetben mérsékeltnek találta a sebezhetőség súlyosságát (sic!), ám a Checkmarx további visszajelzéseit követően ezt július 23-án magasra emelték. Augusztus 1-jén a Google megerősítette, hogy a sebezhetőségek a szélesebb körű Android ökoszisztémát érintik más okostelefon-gyártók érintettségével együtt és kiadták a már említett CVE-2019-2234 sebezhetőségi figyelmeztetést. Augusztus 18-án több gyártóval is felvettek a kapcsolatot és augusztus 29-én a Samsung megerősítette, hogy a biztonsági rés az ő eszközeiket is érinti.

A legfontosabb teendőnk most mindenesetre

Azonnal frissíteni készülékünket (a tableteket is) az Android operációs rendszer legújabb verziójára, biztosítva, hogy a legfrissebb elérhető biztonsági javításokat alkalmazzuk, valamint telepíteni az eszköz kamera alkalmazásának legújabb verzióját a kockázat csökkentése érdekében.

A biztonsági szakértő padlót fog

Ian Thornton-Trump számítógépes fenyegetésekkel foglalkozó hírszerző szakértő és a CompTIA globális oktatója nem rejtette véka alá véleményét az üggyel és annak kontextusával kapcsolatban:

„Az állam leesett, amikor elolvastam ezt a jelentést arról, hogy a kamera alkalmazás mennyire sebezhető” - mondta Thornton-Trump.

Thornton-Trump úgy vélekedett, hogy ha a biztonsági kutatók fekete kalapos hekkerek lettek volna, könnyedén eladhatták volna felfedezésüket több százezer dollárért. "Szakértelmüknek és erkölcsi integritásuknak köszönhetően ma mindenkinek biztonságosabb az élete" - tette hozzá.

Nem az aminek látszik

De a legsúlyosabb következtetést vagy sejtést a végére hagyta

"Nem is tűnt, ez sebezhetőségnek, a sebezhetőség olyasmi ami előfordul.  Inkább hívnám Advanced Persistent Threat (APT)-nek ami a legkomolyabb teljes funkcionalitással rendelkező - általában titkosszolgálati eredetű - kémprogramot, vagy esetleg hekker-csapatot takar!"

Mint a többség, Thornton-Trump is örül, hogy a Google kiadott egy javítást, és viszonylag gyorsan kiadta (khm..), de azt állítja, hogy a sérülékenységek súlyossága és átfogó jellege alapján:

„Itt az ideje, hogy a Google bevesse az iOS kapcsán elhíresült Project Zero csapatának képességeit az Android OS rejtelmeinek feltárására is. Nem kétséges, hogy az Android sérülékenységeinek nagy száma hátrányosan érinti az Android márkát. A közelmúltbeli “white screen of death" fehér képernyős lefagyás esetek és most ez a botrány sem a jó hírnevüket öregbíti. A Google-nak többet kell tennie az Android-ot futtató eszközök biztonságával és titkosságával kapcsolatban, ha értékes számára az ügyfél-bizalom.

Fekete leves

A rossz hír a végére maradt, Thornton-Trump szerint ugyanis:

„Ha nem tudjuk frissíteni az Androidot futtató eszközt az életkora vagy a gyártó támogatásának hiánya miatt, itt az ideje egy új eszköz beszerzésének!”

(Forrás: Forbes Fotók: Unsplash)