Google & Samsung: Sicherheitslücke ermöglichte Apps Zugriff auf die Kamera

Über die Kamera-Apps von Google und Samsung konnten andere Apps auch ohne eine entsprechende Berechtigung Bild- und Tonaufnahmen erstellen. Auch ein Zugriff auf GPS und das Mitschneiden von Telefongesprächen war möglich. Andere Hersteller könnten ebenfalls betroffen sein.

Artikel veröffentlicht am ,
Die Kamera-App von Google konnte von anderen Apps ausgenutzt werden.
Die Kamera-App von Google konnte von anderen Apps ausgenutzt werden. (Bild: Pathum Danthanarayana/Unsplash)

Auch ohne eine entsprechende Berechtigung konnten Apps unter Android auf die Kamera zugreifen und Bilder, Videos und Ton aufnehmen. Die Sicherheitsforscher Erez Yalon und Pedro Umbelino von der Sicherheitsfirma Checkmarx nutzten hierzu Schwachstellen in den Kamera-Apps von Google, Samsung und anderen Herstellern aus, um über diese Zugriff auf die Kamera zu bekommen. Google und Samsung haben die Sicherheitslücken bestätigt und beseitigt, andere Hersteller könnten nach wie vor betroffen sein. Zuerst hatte das Onlinemagazin Arstechnica berichtet.

Stellenmarkt
  1. IT-Systemadministrator / Anwendungsbetreuer (m/w/d) (Microsoft 365 und SharePoint Online)
    EWR GmbH, Remscheid
  2. Workday HCM Consultant (m/w/d)
    Rentschler Biopharma SE, Laupheim
Detailsuche

Über manipulierte Anfragen an Googles Kamera-App konnten die Sicherheitsforscher auf ihren Testgeräten, einem Google Pixel 2 XL und Pixel 3, Fotos und Videos aufnehmen - eine entsprechende Berechtigung benötigten die Sicherheitsforscher nicht, diese hatte die Kamera-App bereits. Das funktionierte auch bei gesperrten Geräten oder wenn mit dem Smartphone telefoniert wurde. Auf diese Weise ließen sich beispielsweise Telefongespräche mitschneiden. Hatte die Kamera-App die Berechtigung, den Standort abzufragen, konnte dieser auch von den Sicherheitsforschern abgefragt werden.

Um die Daten an einen Command-and-Control-Server zu senden, benötigten die Sicherheitsforscher jedoch die Berechtigung für den Speicherzugriff - laut Checkmarx eine der gebräuchlichsten App-Berechtigungen. Das Angriffsszenario funktioniert nicht nur mit Googles App, sondern auch mit den Kamera-Apps von Samsung und weiteren, nicht genannten Herstellern.

Eine Wetter-App greift unberechtigt auf die Kamera zu

Die Sicherheitsforscher programmierten eine Proof-of-Concept-App, die sie als einfache Wetter-App tarnten, um die Möglichkeiten eines Angreifers zu demonstrieren. Wird die Wetter-App gestartet, baut diese eine persistente Verbindung zu einem Command-and-Control-Server auf und wartet auf dessen Instruktionen. Auch wenn die App geschlossen wird, bleibt die Verbindung bestehen. Über diese kann ein Angreifer Bild- und Tonaufnahmen mit der Kamera des Smartphones erstellen und an den Server senden lassen. Damit lassen sich auch Telefongespräche aufnehmen, die die App über die Sensorik des Smartphones automatisch erkennen kann, wenn das Telefon an das Ohr gehalten wird. In dieser Position lassen sich zudem Fotos oder Videos der Umgebung aufnehmen, beispielsweise Flip-Charts in Firmen.

Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    26./27.01.2023, Virtuell
  2. IPv6 Grundlagen: virtueller Zwei-Tage-Workshop
    19./20.12.2022, virtuell
Weitere IT-Trainings

"Die Möglichkeit, dass eine Anwendung Eingaben von Kamera, Mikrofon und GPS abrufen kann, wird von Google selbst als sehr invasiv angesehen, daher hat AOSP eine bestimmte Berechtigung eingeführt, die eine Anwendung vom Benutzer anfordern muss", schreiben die Sicherheitsforscher. Die Berechtigungen können zwar umgangen werden, ganz heimlich findet der Zugriff allerdings nicht statt: Wenn die Kamera aktiv ist, kann der Nutzer dies durch einen Hinweis auf dem Display des Smartphones erkennen. Liegt das Smartphone allerdings auf dem Display, was die Sicherheitsforscher ebenfalls auslesen konnten, kann der Hinweis nicht gesehen werden.

Checkmarx hat die Sicherheitslücke im Juli an Google gemeldet. Der Android-Hersteller hat zeitnah ein Update veröffentlicht. Nutzer können dies über die App-Informationen überprüfen: Wurde die Kamera-App zuletzt im Juli 2019 oder danach aktualisiert, ist die Sicherheitslücke behoben. Laut Samsung wurden Patches für alle betroffenen Geräte des Herstellers veröffentlicht.

Eigentlich soll das Android-Berechtigungsmodell davor schützen, dass Apps an sensible Daten wie den Standort, Kamerazugriff oder die Geräte-ID kommen. Das Berechtigungsmodell lässt sich jedoch auf vielfältige Weise umgehen. Das zeigt neben der Untersuchung von Checkmarx auch eine Studie von mehreren Universitäten aus den USA, Kanada und Spanien. Die Forscher untersuchten 88.000 Apps, die aus der US-Version des Google Play Stores stammten. Dabei fanden sie 1.325 Programme, die ohne eine entsprechende Berechtigung Zugriff auf Daten erlangen konnten. Zum Teil tauschen Apps Daten über den Gerätespeicher aus.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Urheberrechtsverletzung
US-Marine muss Strafe an deutsche Firma bezahlen

Noch während der Lizenzverhandlungen installierte die US-Marine eine Software auf über 500.000 Rechnern. Sechs Jahre später muss sie dafür bezahlen.

Urheberrechtsverletzung: US-Marine muss Strafe an deutsche Firma bezahlen
Artikel
  1. Karmesin und Purpur: Nintendo entschuldigt sich für Probleme mit Pokémon
    Karmesin und Purpur
    Nintendo entschuldigt sich für Probleme mit Pokémon

    Schwache Grafik und trotzdem Ruckler: Viele Spieler ärgern sich über den technischen Zustand von Pokémon Karmesin/Purpur.

  2. Bayern: Arbeitszeit von mehr als 10 Stunden am Tag gefordert
    Bayern
    Arbeitszeit von mehr als 10 Stunden am Tag gefordert

    Die bayerische Arbeitsministerin plädiert für mehr Flexibilität am Arbeitsplatz und will mehr als zehn Stunden Arbeit pro Tag erlauben.

  3. EuGH: Google legt erneut Einspruch gegen Milliardenstrafe ein
    EuGH
    Google legt erneut Einspruch gegen Milliardenstrafe ein

    Google will keine 4,125 Milliarden Euro zahlen und zieht mit dem Fall vor den Europäischen Gerichthof. Es geht um Android.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • LG OLED TV (2022) 55" 120Hz 949€ • Mindstar: Geforce RTX 4080 1.449€ • Tiefstpreise: G.Skill 32GB Kitt DDR5-7200 • 351,99€ Crucial SSD 4TB 319€, HTC Vive Pro 2 659€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger [Werbung]
    •  /