ment 11/20 '19 posted
• 개념 증명 앱을 사용하여 CheckMarx는 앱이 닫혀 있고 화면이 꺼진 상태에서 사진을 찍을 수 있었고, 해당 사진에서 GPS 데이터를 가져오고, 양방향 전화 통화를 도청하고, 카메라 셔터를 끄고, 사진을 전송합니다. 그리고 비디오를 외부 서버로 가져오고 이미 전화에 저장된 이미지와 비디오를 가져옵니다.
• 물론 이를 위해서는 사용자가 앱에 스토리지 액세스 권한을 부여해야하지만 가장 일반적으로 제공되는 권한 중 하나입니다.
• “Google 카메라 앱을 상세하게 분석한 후 특정 작업과 의도를 조작하여 특정 권한없이 모든 애플리케이션에서 Google 카메라 앱을 제어할 수있는 방법을 찾았습니다. Checkmarx 보안 팀장 Erez Yalon은 설명했습니다.
• 그런 다음 연구원들은이 취약점에 대해 추가 공급 업체에 연락하여 자신의 카메라 앱이 취약한 것으로 확인된 삼성의 답변을 받았습니다.
• "이 문제는 영향을 받은 Google 장치에서 2019 년 7 월 Google 카메라 응용 프로그램의 Play 스토어 업데이트를 통해 해결되었습니다. 모든 파트너가 패치도 이용할 수 있게 되었다"고 Google은 연구원에 통지했습니다.
• Checkmarx의 영리한 사람들은 스토리지에 대한 액세스가 Android 앱이 요청하는 가장 일반적인 권한 중 하나이므로 이러한 취약점의 잠재적인 도달 범위는 상당할 수 있다고 지적했습니다.




Open Wiki - Feel free to edit it. -
11/20 '19 answered



permanent link
Open Wiki - Feel free to edit it. -
11/20 '19 answered



permanent link