Исследовательская группа по кибербезопасности Checkmarx обнаружила в приложениях «Google Камера» и Samsung Camera уязвимость, которая позволяет злоумышленникам удалённо делать фотографии, записывать видео со звуком и определять местоположение в фоновом режиме незаметно для пользователя.

Android имеет в своей основе систему разрешений, которая не позволяет приложениям получать доступ ко всем частям операционной системы и модулям смартфона без подтверждения пользователя. Исследователи Checkmarx создали механизм, который обходит эти разрешения.

Для подтверждения уязвимости специалисты создали вредоносное приложение, замаскированное под погодный сервис. Оно запрашивает только одно разрешение — доступ к хранилищу. Через приложение злоумышленник может удалённо отправлять команды на запись видео или фото, а также копирование уже сохранённого контента без разблокировки смартфона и других внешних действий.

Google и Samsung уведомлены об узявимости 4 июля, 13 июля Google подтвердила проблему и определила серьёзность узявимости как умеренную. 23 июля ранг уязвимости был повышен. Сейчас ошибка исправлена, компании советуют проверить, обновлены ли приложения камеры до последней версии.