พบช่องโหว่ในแอปกล้อง Android แอบบันทึกวีดีโอ ถ่ายภาพและบันทึกบทสนทนาได้

นักวิจัยจาก Checkmarx ได้ออกมาเปิดเผยและ PoC การใช้งานช่องโหว่ที่เกิดขึ้นกับแอปพลิเคชันกล้องบนแอนดรอยด์ซึ่งทำให้คนร้ายสามารถแอบบันทึกวีดีโอ ถ่ายรูป ทราบถึงข้อมูล GPS ทั้งที่ไม่มีสิทธิ์ได้

ไอเดียของช่องโหว่หมายเลข CVE-2019-2234 คือการที่ปกติแล้วหากแอปต้องการถ่ายภาพ บันทึกวีดีโอ หรือเข้าถึงพิกัดอุปกรณ์จะต้องมีสิทธิ์คือ android.permission.CAMERA, android.permission.RECORD_AUDIO, android.permission.ACCESS_FINE_LOCATION และ android.permission.ACCESS_COARSE_LOCATION แต่ประเด็นคือนักวิจัยพบว่าแอปที่มี ‘Storage Permission’ ซึ่งสามารถเข้าถึง SD Card และมีเดียที่บันทึกอยู่กลับมีสิทธิ์ใช้ความสามารถของแอป Camera โดยแม้ไม่มีสิทธิ์ข้างต้น ปัญหาที่ตามมาคือมีแอปจำนวนมากที่มักขอสิทธิ์เข้าถึง Storage นั่นเอง

ทั้งนี้นักวิจัยได้พบช่องโหว่บน Google Pixel 2 XL และ 3 แล้วที่มีแอปกล้องติดตั้งมาเป็นค่าพื้นฐาน ทั้งนี้อาจไม่ได้มีผลกระทบกับ Vendor ทุกรายแต่ Vendor อีกเจ้าที่ถูกพาดพิงถึงคือแอปของ Samsung ด้วย (ผ่านทางหน้า Galaxy Store เท่านั้น) ซึ่งสำหรับ Google เองได้ออกแพตช์มาแล้วเมื่อเดือนกรกฎาคมผ่านมาทาง Google Play เช่นเดียวกันกับ Samsung ดังนั้นเตือนผู้ใช้งานให้อัปเดตการแพตช์ให้เรียบร้อยครับ

สำหรับการสาธิตการโจมตีนักวิจัยได้สร้างแอปสภาพอากาศขึ้นมาเพื่อใช้งานช่องโหว่ โดยมีขั้นตอนดังนี้

  • ถ่ายภาพเหยื่อและอัปโหลดไปยังเซิร์ฟเวอร์ควบคุม
  • บันทึกวีดีโอเหยื่อและอัปโหลดไปยังเซิร์ฟเวอร์ควบคุม
  • แกะ GPS Tag และระบุพิกัดได้บน Global Map
  • ลอบบันทึกวีดีโอและถ่ายภาพอย่างเงียบๆ
  • ลอบบันทึกบทสนทนาทางโทรศัพท์ทั้งสองฝั่ง

ที่มา :  https://www.bleepingcomputer.com/news/security/android-camera-app-bug-lets-apps-record-video-without-permission/ และ  https://www.helpnetsecurity.com/2019/11/19/android-camera-spy/ และ  https://www.zdnet.com/article/android-vulnerability-lets-rogue-apps-take-photos-record-video-even-if-your-phone-is-locked/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Intel เปิดตัว Horse Ridge Cryogenic Control Chip สำหรับช่วยพัฒนา Quantum Computer

ในช่วงปลายปี 2019 นี้ข่าวคราวด้าน Quantum Computer เองก็ถือว่าน่าติดตามไม่น้อย และทาง Intel เองก็เริ่มมีการพัฒนาเทคโนโลยีสำหรับตอบรับต่อแนวโน้มด้านนี้ออกมาเรื่อยๆ โดยหนึ่งในประกาศล่าสุดนี้ก็คือการเปิดตัว Horse Ridge ระบบ Cryogenic Control Chip สำหรับทำหน้าที่เป็นส่วนประกอบสำคัญภายในระบบ Quantum Computer เพื่อช่วยให้การพัฒนาศาสตร์ด้าน Quantum Computer นี้เป็นไปได้อย่างรวดเร็วนั่นเอง

สรุปงาน Veritas Tech Symposium 2019 : บริหารจัดการความซับซ้อนของข้อมูลด้วย Veritas Enterprise Data Service Platform (A P I)

การก้าวกระโดดของเทคโนโลยีถือเป็นเรื่องดีกับโลก เพียงแต่สิ่งเบื้องหลังที่อยู่เบื้องหลังและเป็นภาระขององค์กรตามมาก็คือทำอย่างไรจึงจะสามารถจัดการข้อมูลที่เกิดขึ้นด้วยเทคโนโลยีจำนวนมากและซับซ้อนเหล่านั้นได้อย่างมีประสิทธิภาพ ทั้งในแง่ของการปกป้องข้อมูลสำคัญให้รอดพ้นจากภัยคุกคามหรือในภาวะภัยพิบัติ รวมถึงกฏหมายคุ้มครองความเป็นส่วนตัวที่ถือกำเนิดขึ้น เช่น GDPR หรือ PDPA ของไทยเอง ด้วยเหตุนี้เอง Veritas จึงจัดงานใหญ่ประจำปีขึ้นภายใต้ชื่อ “Veritas Tech Symposium …