Satoja miljoonia Android-puhelimia oli mahdollista vakoilla kameran kautta - Tietoturva - Ilta-Sanomat

Järkyttävä virhe: Salakuvaus mahdollista sadoilla miljoonilla puhelimilla

Monessa puhelimissa ollut haavoittuvuus on mahdollistanut salakuvaamisen laitteen kameralla.

Monessa puhelimissa ollut haavoittuvuus on mahdollistanut salakuvaamisen laitteen kameralla.

Julkaistu: 20.11. 13:34

Androidista paikattiin erittäin vakava haavoittuvuus, joka salli puhelimen kameran mielivaltaisen käytön.

Sadoista miljoonista Android-puhelimista löytyi haavoittuvuus, jolla puhelimen kameraa voidaan käyttää salaa kuvaamiseen ja samalla myös äänen nauhoittamiseen. Tietoturvayhtiö Checkmarx huomasi, että Googlen omaa kamerasovellusta voi käyttää toisen puhelimeen asennettavan sovelluksen avulla.

Yhtiön raportista uutisoivat muun muassa Mashable ja The Next Web. Checkmarx julkaisi myös videon, jossa potentiaalista hyökkäystä esitellään yksityiskohtaisesti käyttämällä hyväksi väärää sääsovellusta. Hyökkäyssovelluksen ei tarvinnut pyytää lupaa kameran käyttämiseen voidakseen ottaa valokuvia tai tallentaa videota.

Lisäksi jos sovellukselle myöntää monen sovelluksen käyttämän luvan käyttää tallennustilaa, se pystyy lähettämään puhelimen muistikortille tallennettuja kuvia ja videoita hyökkääjälle. Jos kamerasovelluksessa on asetuksena paikkatietojen tallennus kuviin päällä, hyökkääjä näkee myös, missä uhri sijaitsee.

Checkmarxin onnistui pakottaa testipuhelimena käytetyn Google Pixel 2 XL:n ja Pixel 3:n kamera päälle, vaikka puhelin oli lukittuna. Sama onnistui puhelun aikana, mikä mahdollisti koko keskustelun tallentamisen salaa.

Kaiken päälle oli mahdollista havaita, koska puhelin oli jonkun korvalla tai pöydällä näyttö alaspäin. Tällöin kameran käyttö oli mahdollista ilman että siitä näkyi todisteita ruudulla.

Google sanoo korjanneensa ongelman kaikista sen piirissä olevista puhelimistaan Play Kaupan kautta jaetulla kamerasovelluksen päivityksellä heinäkuussa. Paikkaus on lisäksi annettu jakeluun muille Android-valmistajille.

Epäselvää on, keitä kaikkia muita valmistajia aukko mahdollisesti koskee ja saavatko kaikki haavoittuvat laitteet koskaan päivitystä. Sen verran tiedetään, että Samsung on vahvistanut aukon koskevan sen laitteita ja on tuonut korjauksen saataville.

Käyttäjien kannattaa varmistaa, että heidän sovelluksensa ja Androidinsa ovat ajan tasalla.