A fost descoperită o vulnerabilitate (CVE-2019-2234) în aplicația Google Camera ce permite unui atacator să acceseze memoria internă a smartphone-ului și chiar să folosească aplicația atunci când telefonul este închis. Pentru că aplicația Google Camera (și altele similare) au deja acces la stocare, cameră, se poate folosi pentru a citi fișierele foto și video și chiar de a porni camera foto și înregistra, fără știrea utilizatorului. În anumite scenarii un atacator poate chiar să extragă și detaliile legate de locația GPS prin manipularea datelor EXIF asociate pozelor – practic, dacă o aplicație rău voitoare folosește vulnerabilitatea din Google Camera, poate să facă poze sau filme fără ca utilizatorul să știe asta, iar în urma analizei datelor EXIF asociate pozelor făcute, să poată identifica poziția acestuia prin coordonatele GPS.
Uitați mai jos despre ce e vorba, într-un scenariu de atac pe Pixel 2 XL:
Exploit-ul funcționează și pe alte aparate, nu doar pe cele Google Pixel, în special pe cele Samsung. Vestea bună este că în mod normal ar trebui să aveți deja patch-ul în cauză, dacă aveți un model mai nou de Samsung sau Pixel, pentru că cercetătorii de la Checmarx, cei care au descoperit problema, au anunțat deja companiile în cauză încă din luna iunie. Și ceilalți producători afectați au fost înștiințați și unii dintre ei au reparat problema, lansând update-uri de firmware.
via Checkmarx
