SamSung và Google đã vá lỗi camera android cho phép ứng dụng theo dõi người dùng

0
3

Công ty bảo mật Checkmarx gần đây đã xác nhận một lỗ hổng camera trên Android giúp các ứng dụng bên thứ ba có thể theo dõi người dùng.

Ban đầu, lỗ hổng này ảnh hưởng đến các thiết bị của Samsung và Google, thế nhưng, giờ đây, cả 2 công ty này đều đã phát hành bản vá cho ứng dụng camera của mình. Các OEM khác vẫn có nguy cơ bị ảnh hưởng từ lỗ hổng này.

Theo Checkmarx, lỗi này cho phép các ứng dụng quay video, chụp ảnh, ghi âm và lưu lại vị trí GPS trái phép. Nếu người dùng đã cấp cho ứng dụng quyền truy cập bộ nhớ, nó cũng có thể tải dữ liệu lên các máy chủ từ xa.

Về bản chất, điều này là có thể, xuất phát từ cách Android xử lý các quyền hạn của ứng dụng. Kể từ phiên bản Marshmallow, Android tận dụng các thông báo pop-up để người dùng cấp quyền cho ứng dụng như sử dụng camera hay micro. Các ứng dụng camera trên những thiết bị bị ảnh hưởng sẽ không cần phải yêu cầu cấp quyền và kẻ tấn công có thể khai thác điều đó để theo dõi người dùng Android.

Ban đầu, Checkmarx đã gửi báo cáo về lỗ hổng của mình đến nhóm Bảo mật (Security) của Android vào hồi tháng 7. Đến tháng 8, Google và Checkmarx đã liên hệ với nhiều nhà sản xuất về lỗ hổng này và Samsung xác nhận các thiết bị của họ bị ảnh hưởng.

Google cũng xác nhận rằng các đối tác Android hiện cũng có thể truy cập vào bản vá lỗi camera này. Nọ không công khai danh sách những thiết bị nào bị ảnh hưởng và chúng đã được vá hay chưa. Tất cả những gì chúng ta biết ở hiện tại là mọi thiết bị Google Pixel và Samsung Galaxy đều sẽ không còn bị ảnh hưởng bởi lỗ hổng này.