Bei Android-Handys könnten installierte Apps ohne Wissen des Benutzers Fotos und Videos samt Ton erstellen, indem sie die Zugriffsbeschränkung auf Kamera und Mikrofon umgehen.

Die Sicherheitslücke betrifft zumindest Android-Handys mit Kamera-Apps von Samsung und Google. Wenn die App dabei zusätzlich den üblichen Zugriff auf gespeicherte Daten hat, könne sie die Fotos und Videos auch an einen Server übertragen.

Ein Angreifer könne die Sicherheitslücke mit der Kennzeichnung CVE-2019-2234 auch dann ausnutzen, wenn das Handy gesperrt und der Bildschirm aus ist. Auch während eines Telefonats könne aufgenommen werden, sodass auch Telefongespräche mitgeschnitten werden können. Sollte ein Nutzer GPS-Daten in seinen Fotos speichern, könne somit auch der Aufenthaltsort bestimmt werden.

Ein Vorführprogramm (proof of concept), das sich als Wetter-App ausgibt, demonstriere diese Spionagemöglichkeiten. Das israelischen Softwareunternehmen Checkmarx habe das Problem entdeckt und am Dienstag öffentlich gemacht. Google wurde jedoch schon Anfang Juli informiert und habe noch im selben Monat ein Update für seine Kamera-App herausgebracht. Inzwischen habe auch Samsung nachgezogen.

(tl, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE