In der heutigen digital vernetzten Gesellschaft sind Smartphones zu einer Erweiterung von uns geworden. Vor allem die fortschrittlichen Kamera- und Videofunktionen spielen dabei eine große Rolle, da die Nutzer ihr Telefon schnell herausnehmen und jeden Moment in Echtzeit mit einem einfachen Klick festhalten können. Dies stellt jedoch ein zweischneidiges Schwert dar, da diese mobilen Geräte ständig verschiedene Arten von Daten sammeln, speichern und weitergeben – mit und ohne unser Wissen – was unsere Geräte zu Goldminen für Angreifer macht.
Um besser zu verstehen, wie Smartphone-Kameras die Privatsphäre der Nutzer gefährden können, hat das Checkmarx Security Research Team die Anwendungen selbst untersucht, die diese Kameras steuern, um potenzielle Missbrauchsszenarien zu identifizieren. Da wir ein Google Pixel 2 XL und ein Pixel 3 zur Verfügung hatten, begann unser Team damit, die Google-Kamera-App zu untersuchen und fand schließlich mehrere Sicherheitslücken, die auf Probleme bei der Umgehung von Berechtigungen zurückzuführen sind. Nach weiteren Nachforschungen fanden wir außerdem heraus, dass dieselben Schwachstellen auch die Kamera-Apps anderer Smartphone-Anbieter im Android-Ökosystem betreffen – namentlich Samsung -, was erhebliche Auswirkungen auf Hunderte von Millionen Smartphone-Nutzern hat.
In diesem Blog erläutern wir die entdeckten Schwachstellen (CVE-2019-2234), liefern Details, wie sie ausgenutzt wurden, erklären die Konsequenzen und weisen darauf hin, wie Nutzer ihre Geräte schützen können. Dieser Blog wird außerdem von einem Proof-of-Concept (PoC)-Video sowie einem technischen Bericht über die Ergebnisse begleitet, der mit Google, Samsung und anderen Android-basierten Smartphone-OEMs geteilt wurde.
Google & Samsung Kamera-Schwachstellen
Nach einer detaillierten Analyse der Google Kamera-App hat unser Team herausgefunden, dass ein Angreifer durch die Manipulation bestimmter Aktionen und Intents die App so steuern kann, dass Fotos und/oder Videos durch eine Rogue-Applikation aufgenommen werden, die dafür keine Berechtigung hat. Darüber hinaus fanden wir heraus, dass bestimmte Angriffsszenarien es böswilligen Akteuren ermöglichen, verschiedene Speicherberechtigungsrichtlinien zu umgehen, wodurch sie Zugriff auf gespeicherte Videos und Fotos sowie in Fotos eingebettete GPS-Metadaten erhalten, um den Benutzer zu lokalisieren, indem sie ein Foto oder Video aufnehmen und die entsprechenden EXIF-Daten parsen . Dieselbe Technik galt auch für die Kamera-App von Samsung.
Dabei fanden unsere Forscher einen Weg, wie eine Schurkenanwendung die Kamera-Apps zwingen kann, Fotos und Videos aufzunehmen, auch wenn das Telefon gesperrt oder der Bildschirm ausgeschaltet ist. Unsere Forscher konnten dasselbe sogar dann tun, wenn der Benutzer gerade ein Telefongespräch führte.
Die Auswirkungen
Die Möglichkeit für eine Anwendung, Daten von der Kamera, dem Mikrofon und dem GPS-Standort abzurufen, wird von Google selbst als sehr invasiv angesehen. Aus diesem Grund hat das AOSP einen speziellen Satz von Berechtigungen erstellt, die eine Anwendung vom Benutzer anfordern muss. Da dies der Fall war, entwarfen die Forscher von Checkmarx ein Angriffsszenario, das diese Berechtigungsrichtlinie umgeht, indem es die Google-Kamera-App selbst missbraucht und sie dazu zwingt, die Arbeit im Auftrag des Angreifers zu erledigen.
Es ist bekannt, dass Android-Kamera-Anwendungen ihre Fotos und Videos normalerweise auf der SD-Karte speichern. Da es sich bei Fotos und Videos um sensible Benutzerinformationen handelt, benötigt eine Anwendung für den Zugriff darauf spezielle Berechtigungen: Speicherberechtigungen. Leider sind die Speicherberechtigungen sehr weit gefasst und diese Berechtigungen geben Zugriff auf die gesamte SD-Karte. Es gibt eine große Anzahl von Anwendungen mit legitimen Anwendungsfällen, die Zugriff auf diesen Speicher verlangen, aber kein besonderes Interesse an Fotos oder Videos haben. Tatsächlich ist dies eine der am häufigsten angeforderten Berechtigungen.
Das bedeutet, dass eine bösartige Anwendung Fotos und/oder Videos ohne spezielle Kamerarechte aufnehmen kann und nur die Speicherberechtigungen benötigt, um einen Schritt weiter zu gehen und die Fotos und Videos nach der Aufnahme abzuholen. Wenn der Standort in der Kamera-App aktiviert ist, hat die Schurkenanwendung außerdem eine Möglichkeit, auf die aktuelle GPS-Position des Telefons und des Benutzers zuzugreifen.
Natürlich enthält ein Video auch Ton. Es war interessant, zu beweisen, dass ein Video während eines Sprachanrufs initiiert werden kann. Wir konnten problemlos die Stimme des Empfängers während des Anrufs aufzeichnen und auch die Stimme des Anrufers.
Ein PoC eines Worst-Case-Szenarios
Um richtig zu demonstrieren, wie gefährlich dies für Android-Benutzer sein könnte, hat unser Forschungsteam eine Proof-of-Concept-App entworfen und implementiert, die über die grundlegende Speichererlaubnis hinaus keine besonderen Berechtigungen benötigt. Um einen fortgeschrittenen Angreifer zu simulieren, hatte der PoC zwei funktionierende Teile: den Client-Teil, der eine bösartige App repräsentiert, die auf einem Android-Gerät läuft, und einen Server-Teil, der den Command-and-Control-Server (C&C) eines Angreifers repräsentiert.
Die bösartige App, die wir für die Demonstration entworfen haben, war nichts anderes als eine Attrappe einer Wetter-App, die von vornherein bösartig hätte sein können. Wenn der Client die App startet, stellt sie im Wesentlichen eine dauerhafte Verbindung zurück zum C&C-Server her und wartet auf Befehle und Anweisungen des Angreifers, der die Konsole des C&C-Servers von einem beliebigen Ort aus bedient. Selbst das Schließen der App beendet die persistente Verbindung nicht.
Der Betreiber der C&C-Konsole kann sehen, welche Geräte mit ihr verbunden sind, und unter anderem folgende Aktionen durchführen:
- Ein Foto auf dem Telefon des Opfers aufnehmen und es auf den C&C-Server hochladen (abrufen)
- Ein Video auf dem Telefon des Opfers aufnehmen und es auf den C&C-Server hochladen (abrufen)
- Alle aktuellen Fotos nach GPS-Tags durchsuchen und das Telefon auf einer globalen Karte lokalisieren
- Im Stealth-Modus arbeiten, wobei das Telefon während der Aufnahme von Fotos und Videos stumm geschaltet wird
- Auf einen Sprachanruf warten und automatisch aufnehmen:
- Video von der Seite des Opfers
- Audio von beiden Seiten des Gesprächs
Hinweis: Das Warten auf einen Sprachanruf wurde über den Näherungssensor des Telefons implementiert, der erkennen kann, wenn das Telefon an das Ohr des Opfers gehalten wird. Ein Video vom erfolgreichen Ausnutzen der Schwachstellen wurde von unserem Forschungsteam aufgenommen und kann hier angesehen werden. Unser Team hat beide Versionen des Pixel (2 XL / 3) in unseren Forschungslabors getestet und bestätigt, dass die Schwachstellen für alle Google-Telefonmodelle relevant sind.
Android-Schwachstelle: Schauen Sie sich das Erklärvideo an
Zusammenfassung der Offenlegung und der Ereignisse
Nach der Entdeckung der Schwachstellen hat unser Forschungsteam sichergestellt, dass sie den Prozess zur einfachen Ausnutzung der Schwachstellen reproduzieren können. Sobald dies bestätigt war, informierte das Checkmarx-Forschungsteam Google verantwortungsvoll über seine Erkenntnisse.
In direkter Zusammenarbeit mit Google wurde unser Forschungsteam informiert und unsere Vermutung bestätigt, dass die Schwachstellen nicht spezifisch für die Pixel-Produktlinie sind. Google informierte unser Forschungsteam darüber, dass die Auswirkungen viel größer sind und sich auf das gesamte Android-Ökosystem erstrecken. Weitere Hersteller wie Samsung räumten ein, dass diese Schwachstellen auch ihre Kamera-Apps betreffen, und begannen, Maßnahmen zur Entschärfung zu ergreifen.
Googles Antwort
„Wir sind dankbar, dass Checkmarx uns auf dieses Problem aufmerksam gemacht hat und mit Google und Android-Partnern zusammenarbeitet, um die Offenlegung zu koordinieren. Das Problem wurde auf betroffenen Google-Geräten über ein Play Store-Update der Google Camera Application im Juli 2019 behoben. Ein Patch wurde auch allen Partnern zur Verfügung gestellt.“
Empfehlung zur Abhilfe
Für eine angemessene Abhilfe und als allgemeine Best Practice sollten Sie sicherstellen, dass Sie alle Anwendungen auf Ihrem Gerät aktualisieren.
Zeitplan der Offenlegung
- 4. Juli 2019 – Einreichung eines Schwachstellenberichts an das Android-Sicherheitsteam bei Google
- 4. Juli 2019 – Google bestätigte den Erhalt des Berichts
- 4. Juli 2019 – Ein PoC „bösartige App“ wurde an Google gesendet
- 5. Juli, 2019 – Ein PoC-Video eines Angriffsszenarios wurde an Google gesendet
- Jul 13, 2019 – Google setzte den Schweregrad des Fundes auf „Moderat“
- Jul 18, 2019 – Weitere Rückmeldung an Google gesendet
- Jul 23, 2019 – Google erhöht den Schweregrad des Fundes auf „Hoch“
- Aug 1, 2019 – Google bestätigt unseren Verdacht, dass die Schwachstellen auch andere Hersteller von Android-Smartphones betreffen könnten und gibt CVE-2019-2234 heraus
- Aug 18, 2019 – Mehrere Hersteller wurden bezüglich der Sicherheitslücken kontaktiert
- Aug 29, 2019 – Samsung bestätigt, dass sie betroffen sind
- Nov 2019 – Sowohl Google als auch Samsung haben die Veröffentlichung genehmigt
Hinweis: Diese Veröffentlichung wurde mit Google und Samsung abgestimmt, nachdem diese bestätigt haben, dass ein Fix veröffentlicht wird. Bitte wenden Sie sich an Google, um Informationen zur behobenen Version des Android-Betriebssystems und der Google Camera-App zu erhalten.
Abschließende Worte
Die Professionalität, die sowohl Google als auch Samsung an den Tag gelegt haben, bleibt nicht unbemerkt.
Diese Art von Forschungsaktivitäten ist Teil unserer laufenden Bemühungen, die notwendigen Änderungen in den Software-Sicherheitspraktiken bei den Herstellern von verbraucherbasierten Smartphones und IoT-Geräten voranzutreiben und gleichzeitig ein größeres Sicherheitsbewusstsein bei den Verbrauchern zu schaffen, die diese Geräte kaufen und nutzen. Der Schutz der Privatsphäre von Verbrauchern muss in der heutigen, zunehmend vernetzten Welt für uns alle Priorität haben.
Lesen Sie den vollständigen Bericht, verfasst von Pedro Umbelino, Senior Security Researcher, hier.
https://en.wikipedia.org/wiki/Google_Camera
https://developer.android.com/guide/components/intents-filters
https://en.wikipedia.org/wiki/Exif
- Android-Schwachstellen
- Application Security Awareness
- Schwachstellen in Anwendungen
- Checkmarx Security Research Team
- Mobile App Security
- Software Exposure
Erez Yalon
Erez Yalon leitet die Security Research Group bei Checkmarx. Mit seiner großen Erfahrung als Verteidiger und Angreifer und als unabhängiger Sicherheitsforscher bringt er unschätzbare Kenntnisse und Fähigkeiten mit. Erez ist für die Wartung der erstklassigen Schwachstellenerkennungstechnologie von Checkmarx verantwortlich, wobei seine frühere Entwicklungserfahrung mit einer Vielzahl von Programmiersprachen zum Tragen kommt.