Android と悪意のあるソフトウェアには関係があり、その結果、多数の被害者が発生しています。それはシステム自体が安全でないからではなく、何十億人もの人々が毎日自分のデバイスでそれを使用しているためです。非常に多くの携帯電話があるため、各アプリケーション、コンポーネント、またはドライバーにシールドを適用することは困難です。 Samsung や Google のカメラ アプリで見つかったようなエラーが非常に深刻なのはこのためです。
まず、カメラのバグが修正されたと言わなければなりません。Samsung と Google の両方がキャプチャ アプリケーションを修正しました。しかし、善意のないアプリケーションがユーザーの同意なしにカメラにアクセスして写真やビデオを撮影する可能性があり、ユーザーがカメラでの奇妙な動作に気付かないため、重大なセキュリティ上の問題が発生しました。
アプリはストレージへのアクセスを要求するだけでカメラにアクセスできます
Android は、 権限を通じて、セキュリティとプライバシーのリスクに応じて、さまざまなハードウェアおよびソフトウェア コンポーネントへのアクセスを提供します。カメラには重大なリスクが伴います。したがって、このアクセスはユーザーが手動で許可する必要があります。これにより、アプリケーションがユーザーの同意なしに写真を撮影することができなくなります。問題は、Samsung と Google のカメラ アプリが外部からの要求を十分にカバーしていないことです。
ソフトウェア セキュリティを専門とする企業Checkmarx が実証したように、前述のカメラ アプリケーションは、そのような許可を持たないアプリケーションであってもハードウェアへのアクセスを許可していました。キーはストレージ許可を介したショートカットにあり、彼らはそれを要求しました。このために、Android インテントを使用しました。これは、アプリケーション間で共有され、ギャラリーに保存されている写真から WhatsApp 経由で送信するツイートに至るまでの情報の交換を可能にするオブジェクトです。
Google と Samsung のカメラ アプリケーションでは、インテント リクエストによるデバイスのマルチメディア ギャラリーへのアクセスだけでなく、写真やビデオの撮影も許可されていました。これにより、 このコンポーネントの明示的な許可なしにカメラが使用される可能性が残されました。その結果、悪意のあるアプリはユーザーのセキュリティとプライバシーに大きなギャップを生み出す可能性があります。
Checkmark が強調しているように、この脆弱性は前述のブランドである Google と Samsung ではすでに修正されています。具体的には、Google が 2019 年 7 月にパッチを適用しました。そして間違いなくサムスンもその頃に修正するだろう。それでも、 Android インテントを介したカメラへのアクセスを許可するメーカーはまだ存在しますが、Checkmark はそれがどのメーカーであるかの詳細を明らかにしていません。各デバイスのカスタマイズに関わるエラーなので、ブランド側が脆弱性を解決しなければなりません。
経由 | XDA開発者