„Google“ ir „Samsung“ kameros programėlių saugumo spragos
„Checkmarx“ saugumo komandai pradėjus analizuoti programėlę „Google Camera“, įdiegtą išmaniuosiuose telefonuose „Pixel 2XL“ ir „Pixel 3“, buvo rastos kelios saugumo spragos. Jos yra susijusios su trūkumais, leidžiančiais programišiams apeiti naudotojo teises. „Mūsų komanda rado būdą manipuliuoti tam tikrais veiksmais ir ketinimais, – sakė „Checkmarx“ saugumo tyrimų vadovas Erezas Yalonas. – Bet kuri programėlė gali valdyti „Google Camera“ net neturėdama konkrečių teisių.“ Atsižvelgiant į „Google“ ir „Samsung“ išmaniųjų telefonų populiarumą bei skaičių, šios saugumo spragos kelia rimtą pavojų šimtams milijonų naudotojų.
Dėl minėtųjų saugumo spragų kenkėjiška programėle galima nuotoliniu būdu perimti kameros ir mikrofono duomenų srautą bei GPS vietos informaciją. Tokių veiksmų padariniai yra pakankamai rimti, nes „Android“ skirtos atvirosios programinės įrangos projekto (angl. „Android Open Source Project“) dalyviai specialiai sukūrė keletą teisių, kurių naudotojo turi paprašyti bet kuri programėlė, norinti gauti prieigą prie telefono kameros ir vietos informacijos.
„Checkmarx“ komanda parengė kibernetinės atakos scenarijų, paremtą programėlės „Google Camera“ naudojimu kai kurioms teisėms apeiti. Tyrėjai sukūrė kenkimo programėlę, išnaudojančią vieną dažniausiai prašomų teisių – gauti prieigą prie duomenų kaupiklio. „Išmaniajame telefone su „Android“ operacine sistema veikianti kenkimo programėlė, kuri turi teisę nuskaityti SD kortelę, gauna prieigą ne tik prie anksčiau padarytų nuotraukų ir vaizdo įrašų – naudojant naująją metodologiją, galima fotografuoti ir filmuoti“, – pasakojo E. Yalonas.
Kaip programišiai galėtų pasinaudoti šiomis programėlės „Google Camera“ saugumo spragomis?
„Checkmarx“ sukūrė saugumo spragą išnaudojančią koncepcinę priemonę – orų prognozių programėlę, kurios įvairiausios atmainos be galo populiarios „Google Play Store“. Programėlė neprašo suteikti jokių specialių teisių, išskyrus prieigą prie duomenų kaupiklio. Kadangi ši teisė yra įprasta visoms programėlėms, naudotojams nekiltų jokių įtarimų, juk programėlė neprašo nieko keisto. Visgi „Checkmarx“ kūrinys nėra toks nekaltas, kaip gali pasirodyti iš pirmo žvilgsnio.
Jį sudaro dvi dalys: kliento programėlė, veikianti išmaniajame telefone, bei komandų ir valdymo serveris, prie kurio programėlė prisijungia, kai programišiai nusprendžia imtis piktų kėslų. Įdiegus ir atvėrus programėlę, sukuriamas nuolatinis ryšys su komandų ir valdymo serveriu, o tada programėlė laukia nurodymų. Užvėrus programėlę, ryšys nenutraukiamas. Kokias komandas gali siųsti programišiai ir kokius veiksmus atlikti?
- Padaryti nuotrauką išmaniojo telefono kamera ir nusiųsti ją į komandų ir valdymo serverį.
- Filmuoti išmaniojo telefono kamera ir nusiųsti vaizdo įrašą į komandų ir valdymo serverį.
- Palaukti, kol bus pradėtas pokalbis, stebint išmaniojo telefono artumo jutiklį (taip galima nustatyti, kada telefonas pridedamas prie ausies), ir įrašyti pokalbį.
- Slapta klausomų pokalbių metu programišiai taip pat galėtų vienu metu įrašinėti garsą ir filmuoti naudotoją.
- Užvaldyti visų padarytų nuotraukų GPS žymes ir jas naudoti telefono savininko buvimo vietai nustatyti.
- Gauti prieigą ir kopijuoti kaupiklyje saugomas nuotraukas ir vaizdo medžiagą, taip pat atakos metu padarytas nuotraukas.
- Veikti nepastebimai, sumažinus išmaniojo telefono garsą, kai fotografuojama ir filmuojama, kad kameros skleidžiami garsai neatkreiptų naudotojo dėmesio.
- Fotografuoti ir filmuoti galima neatsižvelgiant į tai, ar išmanusis telefonas yra užrakintas, ar atrakintas.
Programėlės „Google Camera“ saugumo spragų atskleidimo eiga
Informacijos apie aptiktas saugumo spragas atskleidimas buvo suderintas su „Google“ ir „Samsung“, siekiant užtikrinti, kad abi įmonės spėtų išleisti pataisas saugumo spragoms užkamšyti. Vis dėlto neoficialiai informacija apie saugumo spragas pradėjo sklisti liepos 4 d., kai „Checkmarx“ pateikė pažeidžiamumo ataskaitą „Google“ komandai, atsakingai už „Android“ saugumą. Liepos 13 d. nurodytas saugumo spragas „Google“ įvertino kaip vidutinio grėsmės lygio, tačiau, gavus daugiau informacijos iš „Checkmarx“, liepos 23 d. grėsmės lygis buvo pakeistas į aukštą. Rugpjūčio 1 d. „Google“ patvirtino, kad saugumo spragos paveikia platesnę „Android“ naudotojų dalį, įskaitant kitų gamintojų išmaniųjų telefonų turėtojus, o minėtosios saugumo spragos gavo savo įrašą duomenų bazėje (CVE-2019-2234). Rugpjūčio 18 d. buvo susisiekta su keliais prekiautojais išmaniaisiais telefonais, o rugpjūčio 29 d. „Samsung“ patvirtino, jog naujosios saugumo spragos kelia pavojų jų prietaisams.
Ką apie kameros programėlės saugumo spragas sako „Google“?
Įmonės atstovas spaudai pareiškė: „Dėkojame „Checkmarx“, kad mus informavo apie pažeidžiamumus bei bendradarbiavo su „Google“ ir „Android“ partneriais koordinuodami informacijos apie saugumo spragas atskleidimą. 2019 m. liepos mėnesį „Play Store“ atsirado atnaujinta „Google Camera“ versija, taip pat visi partneriai gali atsisiųsti pataisą.“
„Samsung“ kol kas nepateikė informacijos apie saugumo spragas. Būtina pabrėžti, jog duomenys apie pažeidžiamumus buvo paviešinti tik po to, kai „Google“ ir „Samsung“ išsprendė šią problemą. Taigi, jei turite naujausią savo kameros programėlės versiją, esate apsaugoti nuo pirmiau aprašytos atakos.
Tiesa, dėl viso pikto patariame atnaujinti „Android“ versiją ir įdiegti naujausias saugumo pataisas. Žinoma, taip pat įsitikinkite, kad kameros programėlės versija irgi yra naujausia.
Pritrenkianti saugumo eksperto nuomonė
Ianas Thorntonas-Trumpas, kibernetinių grėsmių ekspertas ir „CompTIA“ (Kompiuterinių technologijų pramonės asociacija) narys, buvo paprašytas įvertinti šių saugumo spragų rimtumą ir vaidmenį platesniame išmaniųjų telefonų saugumo kontekste. „Man atvipo žandikaulis, kai perskaičiau ataskaitą ir supratau, kokia pažeidžiama yra kameros programėlė, – sakė jis. – Problema net nepriminė įprasto pažeidžiamumo, o buvo labiau panaši į pažangią nuolatinę grėsmę, turinčią išsamią šnipinėjimo programą.“ I. Thorntonas-Trumpas pastebėjo, kad jeigu šias spragas būtų aptikę ne tokie sąžiningi žmonės, jie lengvai galėjo paversti savo atradimą šimtais tūkstančių dolerių. „Šiandien visi yra saugesni dėl nuostabių ir sąžiningų „Checkmarx“ tyrėjų veiksmų“, – teigė jis.
Kaip ir daugelis iš mūsų, kibernetinių grėsmių ekspertas džiaugiasi, kad „Google“ greitai sukūrė ir išleido pataisą, tačiau taip pat mano, jog, atsižvelgiant į saugumo spragų rimtumą ir poveikio platumą, „atėjo metas „Google“ panaudoti bent dalį saugumo analitikų komandos „Project Zero“ galimybių ir nuodugniai išnagrinėti visą „Android“ operacinę sistemą“.
Be jokios abejonės, didelis atskleistų „Android“ saugumo spragų skaičius kenkia prekių ženklui. Neseniai išaiškėjusi „baltojo mirties ekrano“ problema taip pat nepadėjo sutvirtinti operacinės sistemos reputacijos. „Google“ reikia įdėti daugiau pastangų ir užtikrinti naudotojus, kad „Android“ yra saugi ir apsaugo jų konfidencialumą. O kol kas I. Thorntonas-Trumpas siūlo visiems, telefone turintiems svarbių duomenų, nedelsiant atnaujinti programinę įrangą. „Jeigu negalite atnaujinti prietaiso programinės įrangos, nes jis yra per senas arba gamintojas nesuteikia tokių galimybių, laikas įsigyti naują prietaisą“, – primygtinai rekomenduoja ekspertas.