Zugriff auf Kamera Schwachstelle in Android erlaubt ungewollte Spionage
Die Smartphone-Kamera nimmt heimlich Videos auf oder zeichnet ein Gespräch im Hintergrund mit. Ein Albtraum für viele Smartphone-Besitzer. IT-Experten haben jetzt eine Schwachstelle bei Android-Handys entdeckt, die genau dies ermöglicht. Samsung und Google haben bereits reagiert.
IT-Experten der amerikanischen Sicherheitsfirma Checkmarx haben eine Schwachstelle im Android-Betriebssystem gefunden. Diese macht es Apps möglich, auf Kamera und Mikrofon zuzugreifen – auch ohne Berechtigung.
Apps brauchen nur Zugang zur SD-Karte
Normalerweise benötigen Apps eine eindeutige Berechtigung, um mit der Kamera Videos aufzunehmen, das Mikrofon zu benutzen oder GPS-Daten auszulesen. Diese entsprechende Berechtigung für die Kamera wäre beispielsweise "android.permission.CAMERA". Die IT-Experten aus den USA haben allerdings herausgefunden, dass es diese Datei nicht braucht, sondern es ausreicht, wenn Apps Daten auf der SD-Karte speichern dürfen. Laut den Experten erfordern die meisten Apps den Zugang zum Speicherplatz.
Um die Schwachstelle nachzuweisen, haben die Forscher eine Wetter-App geschrieben und diese auf einem Google Pixel 2 XL mit Android 9.0 installiert. Die einzige Berechtigung, die die App hatte, war der Zugriff zum Speicherplatz. Nach dem Öffnen der App ließ sich die Kamera von außen steuern und ein Foto aufnehmen. Gleichzeitig mit dem Foto wurden auch die GPS-Koordinaten des Smartphones übermittelt.
Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen Youtube-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren Youtube-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.
In ihrem Bericht erklären die Experten: "Eine bösartige Anwendung, die auf einem Android-Smartphone läuft, das die SD-Karte lesen kann, hat nicht nur Zugriff auf frühere Fotos und Videos, sondern kann mit dieser neuen Angriffsmethode auch angewiesen werden, neue Fotos und Videos nach Belieben zu initiieren (aufzunehmen). Und das ist noch nicht alles. Da GPS-Metadaten in der Regel in die Fotos eingebettet sind, kann der Angreifer diese Tatsache nutzen, um den Benutzer auch durch die Aufnahme eines Fotos oder Videos und das Parsen der richtigen EXIF-Daten zu finden."
- "Mispadu": Gefährlicher Trojaner lauert in falschen McDonald's-Coupons
- Motorola Razr ausprobiert: Die beste Innovation seit dem iPhone – mit einem Problem
- Star-Experte Hyppönen: So steht es um die digitale Sicherheitslage in Deutschland
Checkmarx hat die Schwachstelle daraufhin an Google und Samsung übermittelt. Diese veröffentlichten im Juli 2019 ein entsprechendes Update und gaben den Patch an ihre Partnerfirmen weiter. Wer sein Android-Smartphone seit Juli entsprechend aktualisiert hat, sollte vor einem solchen Zugriff geschützt sein.
- Bleepingcomputer.com: Android Camera App Bug Lets Apps Record Video Without Permission