• IT-Karriere:
  • Services:

Google & Samsung: Sicherheitslücke ermöglichte Apps Zugriff auf die Kamera

Über die Kamera-Apps von Google und Samsung konnten andere Apps auch ohne eine entsprechende Berechtigung Bild- und Tonaufnahmen erstellen. Auch ein Zugriff auf GPS und das Mitschneiden von Telefongesprächen war möglich. Andere Hersteller könnten ebenfalls betroffen sein.

Artikel veröffentlicht am ,
Die Kamera-App von Google konnte von anderen Apps ausgenutzt werden.
Die Kamera-App von Google konnte von anderen Apps ausgenutzt werden. (Bild: Pathum Danthanarayana/Unsplash)

Auch ohne eine entsprechende Berechtigung konnten Apps unter Android auf die Kamera zugreifen und Bilder, Videos und Ton aufnehmen. Die Sicherheitsforscher Erez Yalon und Pedro Umbelino von der Sicherheitsfirma Checkmarx nutzten hierzu Schwachstellen in den Kamera-Apps von Google, Samsung und anderen Herstellern aus, um über diese Zugriff auf die Kamera zu bekommen. Google und Samsung haben die Sicherheitslücken bestätigt und beseitigt, andere Hersteller könnten nach wie vor betroffen sein. Zuerst hatte das Onlinemagazin Arstechnica berichtet.

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz

Über manipulierte Anfragen an Googles Kamera-App konnten die Sicherheitsforscher auf ihren Testgeräten, einem Google Pixel 2 XL und Pixel 3, Fotos und Videos aufnehmen - eine entsprechende Berechtigung benötigten die Sicherheitsforscher nicht, diese hatte die Kamera-App bereits. Das funktionierte auch bei gesperrten Geräten oder wenn mit dem Smartphone telefoniert wurde. Auf diese Weise ließen sich beispielsweise Telefongespräche mitschneiden. Hatte die Kamera-App die Berechtigung, den Standort abzufragen, konnte dieser auch von den Sicherheitsforschern abgefragt werden.

Um die Daten an einen Command-and-Control-Server zu senden, benötigten die Sicherheitsforscher jedoch die Berechtigung für den Speicherzugriff - laut Checkmarx eine der gebräuchlichsten App-Berechtigungen. Das Angriffsszenario funktioniert nicht nur mit Googles App, sondern auch mit den Kamera-Apps von Samsung und weiteren, nicht genannten Herstellern.

Eine Wetter-App greift unberechtigt auf die Kamera zu

Die Sicherheitsforscher programmierten eine Proof-of-Concept-App, die sie als einfache Wetter-App tarnten, um die Möglichkeiten eines Angreifers zu demonstrieren. Wird die Wetter-App gestartet, baut diese eine persistente Verbindung zu einem Command-and-Control-Server auf und wartet auf dessen Instruktionen. Auch wenn die App geschlossen wird, bleibt die Verbindung bestehen. Über diese kann ein Angreifer Bild- und Tonaufnahmen mit der Kamera des Smartphones erstellen und an den Server senden lassen. Damit lassen sich auch Telefongespräche aufnehmen, die die App über die Sensorik des Smartphones automatisch erkennen kann, wenn das Telefon an das Ohr gehalten wird. In dieser Position lassen sich zudem Fotos oder Videos der Umgebung aufnehmen, beispielsweise Flip-Charts in Firmen.

"Die Möglichkeit, dass eine Anwendung Eingaben von Kamera, Mikrofon und GPS abrufen kann, wird von Google selbst als sehr invasiv angesehen, daher hat AOSP eine bestimmte Berechtigung eingeführt, die eine Anwendung vom Benutzer anfordern muss", schreiben die Sicherheitsforscher. Die Berechtigungen können zwar umgangen werden, ganz heimlich findet der Zugriff allerdings nicht statt: Wenn die Kamera aktiv ist, kann der Nutzer dies durch einen Hinweis auf dem Display des Smartphones erkennen. Liegt das Smartphone allerdings auf dem Display, was die Sicherheitsforscher ebenfalls auslesen konnten, kann der Hinweis nicht gesehen werden.

Checkmarx hat die Sicherheitslücke im Juli an Google gemeldet. Der Android-Hersteller hat zeitnah ein Update veröffentlicht. Nutzer können dies über die App-Informationen überprüfen: Wurde die Kamera-App zuletzt im Juli 2019 oder danach aktualisiert, ist die Sicherheitslücke behoben. Laut Samsung wurden Patches für alle betroffenen Geräte des Herstellers veröffentlicht.

Eigentlich soll das Android-Berechtigungsmodell davor schützen, dass Apps an sensible Daten wie den Standort, Kamerazugriff oder die Geräte-ID kommen. Das Berechtigungsmodell lässt sich jedoch auf vielfältige Weise umgehen. Das zeigt neben der Untersuchung von Checkmarx auch eine Studie von mehreren Universitäten aus den USA, Kanada und Spanien. Die Forscher untersuchten 88.000 Apps, die aus der US-Version des Google Play Stores stammten. Dabei fanden sie 1.325 Programme, die ohne eine entsprechende Berechtigung Zugriff auf Daten erlangen konnten. Zum Teil tauschen Apps Daten über den Gerätespeicher aus.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (heute Logitech G635 Lyghtsync Gaming Headset für 75,00€ statt 132,99€ im Vergleich)
  2. (aktuell u. a. Asus XG248Q LED-Monitor 389,00€ (Bestpreis!), Emtec SSD 120 GB 15,79€, Xiaomi...
  3. (u.a. Samsung Galaxy Tab A für 195,00€, Huawei MediaPad M5 Lite für 189,00€, Lenovo Tab E10...

Folgen Sie uns
       


iPhone 11 - Test

Das iPhone 11 ist das günstigste der drei neuen iPhone-Modelle - kostet aber immer noch mindestens 850 Euro. Dafür müssen Nutzer kaum Kompromisse bei der Kamera machen - das Display finden wir aber wie beim iPhone Xr antiquiert.

iPhone 11 - Test Video aufrufen
Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Python Trojanisierte Bibliotheken stehlen SSH- und GPG-Schlüssel
  2. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  3. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2

    •  /