الرئيسية / أخبار تقنية / ثغرة أمنية في نظام أندرويد تسمح للتطبيقات الضارة بالتحكم في الكاميرا والتجسس على المستخدم دون علمه

ثغرة أمنية في نظام أندرويد تسمح للتطبيقات الضارة بالتحكم في الكاميرا والتجسس على المستخدم دون علمه

‫تم اكتشاف ثغرة أمنية مزعجة في العديد من نسخ الهواتف الذكية التي تعمل بنظام تشغيل أندرويد والتي تنتجها جوجل و سامسونج وغيرها قد تسمح للتطبيقات الضارة بالتجسس والتقاط الصور وتسجيل مقاطع الفيديو سراً حتى عندما لا يكون لديهم أذونات محددة للجهاز للقيام بذلك.‬

يجب أن تعلم بالفعل أن نموذج الأمان لنظام تشغيل أندرويد المحمول يعتمد أساسًا على أذونات الجهاز حيث يحتاج كل تطبيق إلى تحديد الخدمات أو قدرات الجهاز أو معلومات المستخدم التي يريد الوصول إليها بشكل صريح.‬

ومع ذلك اكتشف الباحثون في Checkmarx أن ثغرة أمنية يتم تتبعها على أنها CVE-2019-2234 في تطبيقات الكاميرا المثبتة مسبقًا على ملايين الأجهزة يمكن الاستفادة منها بواسطة المهاجمين لتجاوز هذه القيود والوصول إلى كاميرا الجهاز والميكروفون دون أي أذونات للقيام بذلك.‬

‫كيف يمكن للمهاجمين استغلال ثغرة أمنية في تطبيق الكاميرا؟‬

‫يتضمن سيناريو الهجوم تطبيقًا مارقًا لا يحتاج إلا إلى الوصول إلى سعة تخزين الجهاز (على سبيل المثال بطاقة SD) والتي تعد واحدة من أكثر الأذونات المطلوبة شيوعًا ولا تثير أي شكوك.‬

‫ووفقًا للباحثين من خلال معالجة “إجراءات ونوايا” معينة يمكن للتطبيق الضار أن يخدع تطبيقات الكاميرا الضعيفة إلى تنفيذ إجراءات نيابة عن المهاجم الذي يمكنه بعد ذلك سرقة الصور ومقاطع الفيديو من تخزين الجهاز بعد التقاطها.‬

نظرًا لأن تطبيقات كاميرا الهاتف الذكي لديها بالفعل إمكانية الوصول إلى الأذونات المطلوبة فإن الخلل قد يسمح للمهاجمين بالتقاط صور وتسجيل مقاطع الفيديو والتنصت على المحادثات وتتبع الموقع بشكل غير مباشر و خالي حتى لو كان الهاتف مغلقًا أو الشاشة مغلقة.‬

وكتب Checkmarx في نشرت اليوم “بعد تحليل مفصل لتطبيق كاميرا جوجل وجد فريقنا أنه من خلال معالجة إجراءات ونوايا محددة يمكن للمهاجم التحكم في التطبيق لالتقاط الصور أو تسجيل مقاطع الفيديو من خلال تطبيق مارق لا يملك أذونات للقيام بذلك”‬

‫”بالإضافة إلى ذلك وجدنا أن بعض سيناريوهات الهجوم تُمكّن الجهات الفاعلة الضارة من التحايل على سياسات أذونات التخزين المختلفة مما يتيح لهم الوصول إلى مقاطع الفيديو والصور المخزنة وبيانات GPS المضمنة في الصور لتحديد موقع المستخدم من خلال التقاط صورة أو مقطع فيديو وتحليل بيانات EXIF ​​الصحيحة وهذه التقنية نفسها تنطبق على تطبيق كاميرا سامسونج. “‬

ولإثبات خطر التعرض لمستخدمي أندرويد أنشأ الباحثون تطبيقًا مارقًا لإثبات صحة المفهوم تم استنباطه كتطبيق بريء للطقس يطلب فقط إذن التخزين الأساسي.‬

جاء تطبيق PoC في جزأين تطبيق العميل الذي يعمل على جهاز أندرويد وخادم التحكم والتحكم (C&C) للمهاجمين والذي يقوم التطبيق بإنشاء اتصال مستمر به حتى لا يؤدي إغلاق التطبيق إلى إنهاء اتصال الخادم.‬

‫تمكن التطبيق الضار الذي صممه الباحثون من أداء قائمة طويلة من المهام الضارة بما في ذلك:‬

• جعل تطبيق الكاميرا على هاتف الضحية لالتقاط الصور وتسجيل مقاطع الفيديو ثم تحميلها (استرجاعها) إلى خادم C&C.‬

• سحب بيانات التعريف GPS المدمجة في الصور ومقاطع الفيديو المخزنة على الهاتف لتحديد موقع المستخدم.‬

• تعمل في وضع التخفي أثناء التقاط الصور وتسجيل مقاطع الفيديو لذلك لا يصدر أي مصراع للكاميرا لتنبيه المستخدم.‬

• تنفيذ خيار انتظار مكالمة صوتية عبر مستشعر القرب بالهاتف والذي يمكن أن يشعر عند تعليق الهاتف على أذن الضحية.‬

‫أيضًا نشر الباحثون فيديو لاستغلال الثغرات الأمنية الخطيرة بنجاح في Google Pixel 2 XL و Pixel 3 وأكدوا أن الثغرات الأمنية كانت ذات صلة بجميع نسخ هواتف جوجل.‬

أبلغ فريق أبحاث Checkmarx بمسؤولية النتائج التي توصلوا إليها إلى جوجل في أوائل يوليو باستخدام تطبيق PoC ومقطع فيديو يوضح سيناريو الهجوم.‬

وأكدت جوجل انها عالجت مشكلة عدم الحصانة في خط أجهزة Pixel مع تحديث الكاميرا الذي أصبح متاحًا في يوليو واتصلت بمصنّعي الأجهزة الأصلية المصنّعين للهواتف الذكية التي تعمل بنظام أندرويد في أواخر أغسطس لإعلامهم بالمشكلة التي صنفتها الشركة على أنها “عالية” في درجة الخطورة.‬

ولم تكشف شركة جوجل عن أسماء الشركات المصنعة والنماذج المتأثرة وقالت”نحن نقدر Checkmarx لفت انتباهنا هذا والعمل مع شركاء جوجل و أندرويد لتنسيق الكشف”.‬

أخيرًا لحماية نفسك من الهجمات المحيطة بمشكلة عدم الحصانة هذه تأكد من تشغيل أحدث إصدار من تطبيق الكاميرا على الهاتف الذكي الذي يعمل بنظام أندرويد وكذلك تشغيل أحدث إصدار من نظام التشغيل أندرويد وتحديث التطبيقات المثبتة على هاتفك بانتظام.‬

عن فدوى

شاهد أيضاً

تويتر تستعرض أهم الأحداث التي تفاعل معها المستخدمين خلال عام 2019

هذا الأسبوع نشر الشبكة الاجتماعية تويتر أحدث قوائمه للأحداث الرئيسية والمشاهير والفرق الرياضية وأكثر من …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *