Beveiligingsonderzoekers hebben een lek ontdekt waardoor ze camera's van Android-toestellen konden activeren zonder dat gebruikers toestemming gaven. Dat lukte door fouten in de camera-apps van Google en Samsung. Mogelijk zit het lek ook in camera-apps van andere merken.
Onderzoekers van Checkmarx deden onderzoek met een Pixel 2 XL en Pixel 3. Ze ontdekten dat de Google Camera-app bugs bevat waardoor permission bypass issues kunnen optreden. Kwaadwillenden kunnen daarmee toegang krijgen tot de camera, bijvoorbeeld via een app, zonder dat gebruikers toestemming geven voor het gebruik van de camera.
De onderzoekers demonstreerden dat door een weerapp te maken die alleen toestemming vraagt om bestanden op te slaan. Als gebruikers de app opstarten wordt er een blijvende verbinding met een command & control-server opgesteld. Vanuit de c&c-console kan de aanvaller vervolgens de camera activeren en foto's of video's uploaden naar de server.
Ook kan op deze manier bijvoorbeeld een inkomend gesprek afgewacht worden om de audio af te luisteren. Bovendien kunnen de gps-coördinaten in foto's gebruikt worden om slachtoffers te lokaliseren. Volgens Checkmarx is dit allemaal mogelijk zonder dat de gebruiker er iets van merkt. De camera kan zelfs geactiveerd worden als het scherm van de telefoon uitstaat, of als de gebruikers midden in een gesprek zitten.
Makers van Android-telefoons leveren meestal eigen camera-apps mee. Checkmarx vond het lek in de camera-app van Google, maar merkte dat het ook werkt in de camera-app van Samsung. Het beveiligingsbedrijf heeft Google en Samsung na de ontdekking ingelicht; dat was begin juli. Google heeft het lek diezelfde maand gedicht met een update voor de Camera-app.
Google erkende in augustus dat het lek waarschijnlijk ook andere Android-smartphones treft en heeft een patch beschikbaar gesteld voor partners die Android-toestellen maken. Checkmarx heeft met 'meerdere fabrikanten' contact opgenomen in augustus, waarna Samsung bevestigde ook getroffen te zijn. Samsung zegt het lek ook gedicht te hebben.
Of er misbruik is gemaakt van het beveiligingslek is niet bekend. Ook is onduidelijk of toestellen van meer fabrikanten kwetsbaar zijn en of dat nog steeds het geval is. Checkmarx heeft zijn publicatie online gezet in overeenstemming met Google en Samsung.