Глава отдела безопасности компании Checkmarx Эрез Ялон (Erez Yalon) рассказал о найденной уязвимости на устройствах Google и Samsung. Уязвимость обнаружили на смартфонах Pixel 2 XL и Pixel 3, а также на устройствах Samsung (странно, но конкретные модели не называются).
Во-первых подтвердилось то, что ходило давно уже на уровне слухах - уязвимость в этих моделях позволяет сторонним приложениям управлять камерой, не имея на это разрешений. И что интересно, удаленные пользователи могут получить доступ к сохранённым на устройстве фото и делать новые снимки, даже если телефон заблокирован или находится в режиме голосового вызова. Офигеть, да?
А вот это вообще интересно: уязвимость позволяла записывать во время разговора голоса обоих собеседников и предоставляла доступ к GPS-меткам. Т.е. удаленно можно спокойно прослушивать все ваши разговоры и знать где вы находитесь.
Для примера Эрез Ялон создал приложение для отслеживания погоды, которое запрашивало только одно разрешение — на доступ к памяти. В дальнейшем исследователи выяснили, что закрытие приложения не обрывает соединение с сервером, предоставляя злоумышленникам список всех подключённых устройств.
А что еще осталось за рамками исследований и разбирательств? Тем более как мне кажется, чем дальше тем больше современная техника специально снабжается функциями и возможностями передавать голос, видео, геометки по запроса из вне и без нашего на то ведома. Как только интернет и камеры появится в холодильниках, чайниках, автомобилях и массово квартиры начнут переходить на "умные дома" с подключением к интернету - считай все, борьба за ваше личное пространство возрастет кратно. При этом защита зачастую всегда будет проигрывать нападению, так как по "старой русской поговорке" мы помним, что "если один человек построил, то другой завсегда сломать сможет" (с).