Een beveiligingslek in de camera-app van Google en Samsung maakte het mogelijk voor malafide Android-apps om toegang tot de camera en microfoon te krijgen en gebruikers te filmen, ook al hadden de apps hiervoor niet de vereiste permissies en zelfs als het toestel was vergrendeld of het scherm uitgeschakeld.
Google en Samsung hebben inmiddels een update uitgebracht, maar het probleem speelt waarschijnlijk ook bij de camera-apps van andere Androidfabrikanten. Normaliter kan een app alleen toegang tot de camera krijgen als de gebruiker hiervoor permissie geeft. Een beveiligingslek in de camera-apps van Google en Samsung maakte het mogelijk om deze controle te omzeilen, zo ontdekten onderzoekers van securitybedrijf Checkmarx.
Zodra een gebruiker een malafide app had geïnstalleerd kon die via de kwetsbare camera-app foto's maken, video's opnemen en eerder gemaakte foto's en video's benaderen, alsmede de gps-metadata in de foto's zelf. De onderzoekers ontwikkelden zelfs een aanval waarbij de malafide app telefoongesprekken opslaat. Google werd op 4 juli van dit jaar door Checkmarx over de kwetsbaarheid ingelicht.
Het techbedrijf stelde begin augustus dat het probleem mogelijk ook bij andere fabrikanten aanwezig is, maar noemde geen namen. Checkmarx meldt dat het op 18 augustus meerdere Androidfabrikanten over het probleem heeft benaderd. Op 29 augustus maakte Samsung bekend dat het kwetsbaar was. Zowel Google als Samsung hebben inmiddels een update voor het lek (CVE-2019-2234) uitgebracht. In het geval van Google is dit via een Play Store-update voor de camera-app gedaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.