2469292

Android: Fiese Sicherheitslücke in Kamera-Apps von Google und Samsung

19.11.2019 | 14:41 Uhr | Panagiotis Kolokythas

Von einem bösen Bug in den Kamera-Apps von Samsung und Google für Android waren und sind Millionen Nutzer betroffen.

Die Sicherheitsexperten von Checkmarx haben am Dienstag die Details zu einer fiesen Sicherheitslücke in den Kamera-Apps für Android-Smartphone veröffentlicht. Angreifer konnten und können die Lücke missbrauchen, um ohne dem Wissen des Smartphone-Besitzers Fotos und Videos zu knipsen und dessen Standort über GPS zu ermitteln. Diese Daten können dann unbemerkt beispielsweise an einen Server gesendet werden. Schuld ist ein Fehler in den Berechtigungen, durch den sich Angreifer einen Zugriff auf die Kamera-Apps verschaffen konnten, obwohl die Android-Sicherheitsmaßnahmen dies eigentlich verhindern sollen.

Der Fehler war zunächst in der Kamera-App von Google entdeckt worden. Weitere Recherchen ergaben dann aber, dass auch die Kamera-App von Samsung betroffen ist. Konkret ermöglicht die Lücke den Angreifern folgende Angriffsszenarien:

  • Er kann ein Foto auf dem Gerät des Opfers knipsen und dieses per Upload an einen C&C-Server senden

  • Er kann ein Video auf dem Gerät des Opfers aufnehmen und dieses per Upload an einen C&C-Server senden

  • Er kann die GPS-Tags der zuletzt erstellten Fotos auslesen und somit den Standort des angegriffenen Smartphones ermitteln und verfolgen.

  • Er kann automatisch Aufnahmen von Telefongesprächen erzeugen, wobei per Video das Opfer gefilmt wird. Das Gespräch sowohl des Opfers als auch des Gesprächspartners kann als Audio-Datei aufgezeichnet und an einen C&C-Server gesendet werden.

Vorbildlich zeigt sich Checkmarx im Umgang mit der Sicherheitslücke: Aufgrund der Brisanz informierten die Experten zunächst das Google-Sicherheitsteam und stellten dabei auch einen Proof-of-Concept zur Verfügung. Diese Informationen wurden am 4. Juli 2019 an Google gesendet und am gleichen Tag bestätigt.  Zunächst bewertete Google die Sicherheitslücke nur als "moderat". Nach einer Rücksprache mit Checkmarx wurde die Bewertung der Lücke schließlich auf "hoch" geändert. Die entsprechende Lücke wurde dann von Google mit den Android-Sicherheitsupdates vom 1. August 2019 und der CVE-2019-2234 in der Kamera-App in Android geschlossen.

Am 18. August kontaktierte Checkmarx dann auch Samsung. Am 29. August 2019 bestätigte Samsung, dass seine Geräte ebenfalls betroffen sind und schloss die Lücke mit Updates. Im November 2019 stimmten sowohl Google als auch Samsung der Veröffentlichung der Details über die Sicherheitslücke zu.

Bereits geschützt sind alle Android-Nutzer, die die Kamera-App seit Juli bereits aktualisiert haben. Wer allerdings noch eine veraltete Version der Google-Kamera-App nutzt, der könnte Opfer einer Attacke werden. Die Kamera-App von Google sollte also über den Google Play Store aktualisiert werden, wenn dies schon seit Monaten nicht mehr geschehen sein sollte. Samsung-Smartphone-Besitzer sind geschützt, wenn sie regelmäßig alle von Samsung bereitgestellten Updates für ihr Smartphone auch tatsächlich installieren.

Die besten Kamera-Apps für Android

PC-WELT Marktplatz

2469292