พบช่องโหว่ในแอปกล้อง Android แอบบันทึกวีดีโอ ถ่ายภาพและบันทึกบทสนทนาได้

นักวิจัยจาก Checkmarx ได้ออกมาเปิดเผยและ PoC การใช้งานช่องโหว่ที่เกิดขึ้นกับแอปพลิเคชันกล้องบนแอนดรอยด์ซึ่งทำให้คนร้ายสามารถแอบบันทึกวีดีโอ ถ่ายรูป ทราบถึงข้อมูล GPS ทั้งที่ไม่มีสิทธิ์ได้

ไอเดียของช่องโหว่หมายเลข CVE-2019-2234 คือการที่ปกติแล้วหากแอปต้องการถ่ายภาพ บันทึกวีดีโอ หรือเข้าถึงพิกัดอุปกรณ์จะต้องมีสิทธิ์คือ android.permission.CAMERA, android.permission.RECORD_AUDIO, android.permission.ACCESS_FINE_LOCATION และ android.permission.ACCESS_COARSE_LOCATION แต่ประเด็นคือนักวิจัยพบว่าแอปที่มี ‘Storage Permission’ ซึ่งสามารถเข้าถึง SD Card และมีเดียที่บันทึกอยู่กลับมีสิทธิ์ใช้ความสามารถของแอป Camera โดยแม้ไม่มีสิทธิ์ข้างต้น ปัญหาที่ตามมาคือมีแอปจำนวนมากที่มักขอสิทธิ์เข้าถึง Storage นั่นเอง

ทั้งนี้นักวิจัยได้พบช่องโหว่บน Google Pixel 2 XL และ 3 แล้วที่มีแอปกล้องติดตั้งมาเป็นค่าพื้นฐาน ทั้งนี้อาจไม่ได้มีผลกระทบกับ Vendor ทุกรายแต่ Vendor อีกเจ้าที่ถูกพาดพิงถึงคือแอปของ Samsung ด้วย (ผ่านทางหน้า Galaxy Store เท่านั้น) ซึ่งสำหรับ Google เองได้ออกแพตช์มาแล้วเมื่อเดือนกรกฎาคมผ่านมาทาง Google Play เช่นเดียวกันกับ Samsung ดังนั้นเตือนผู้ใช้งานให้อัปเดตการแพตช์ให้เรียบร้อยครับ

สำหรับการสาธิตการโจมตีนักวิจัยได้สร้างแอปสภาพอากาศขึ้นมาเพื่อใช้งานช่องโหว่ โดยมีขั้นตอนดังนี้

• ถ่ายภาพเหยื่อและอัปโหลดไปยังเซิร์ฟเวอร์ควบคุม
• บันทึกวีดีโอเหยื่อและอัปโหลดไปยังเซิร์ฟเวอร์ควบคุม
• แกะ GPS Tag และระบุพิกัดได้บน Global Map
• ลอบบันทึกวีดีโอและถ่ายภาพอย่างเงียบๆ
• ลอบบันทึกบทสนทนาทางโทรศัพท์ทั้งสองฝั่ง

ที่มา :  https://www.bleepingcomputer.com/news/security/android-camera-app-bug-lets-apps-record-video-without-permission/ และ  https://www.helpnetsecurity.com/2019/11/19/android-camera-spy/ และ  https://www.zdnet.com/article/android-vulnerability-lets-rogue-apps-take-photos-record-video-even-if-your-phone-is-locked/