Um Nutzer auszuspionieren, können ganz ohne Zugriffsrecht Android-Apps Fotos und Videos gemacht werden – von Google und Samsung gibt es Updates.
Viele Android-Handys haben eine Sicherheitslücke ereilt: Ohne Wissen des Benutzers können installierte Apps die Zugriffsbeschränkung auf Kamera und Mikrofon umgehen, um somit Fotos und Videos samt Ton zu erstellen. Hat die App den Zugriff auf gespeicherte Daten, kann sie Videos und Fotos auch an einen Server übertragen. Wie nun ein Vorführprogramm (proof of concept) zeigt, eröffnet sich die als Wetter-App getarnt, sich als enorme Spionagemöglichkeiten.
Android-Handys mit Kamera-Apps von Google und Samsung, möglicherweise aber auch andere Android-Mobiltelefone sind zumindest davon betroffen. Das israelische Softwareunternehmen Checkmarx entdeckte das Problem und informierte Anfang Juli Google, das noch im selben Monat ein Update für seine Kamera-App herausgab. Samsung zog inzwischen nach. Bereits am Dienstag hat Checkmarx die Lücke öffentlich gemacht.
Demnach funktioniert die vom Angreifer initiierte Aufnahme von Fotos und Videos auch dann, wenn das Handy gesperrt und der Bildschirm aus sind oder der Nutzer ein Telefonat führt. Der Angreifer kann somit über den Ton eines aufgenommenen Videos nicht nur den Raum abhören, indem sich das Handy befindet, sondern auch sondern auch Telefongespräche in vollem Umfang mitschneiden. Außerdem kann der Angreifer auch das Auslösegeräusch der Kamera ausschalten und fällt somit nicht sofort auf.
Ein einziger Hinweis bleib dennoch auf Spionage, wenn auf dem Bildschirm das Kamerabild zu sehen ist. Dies ist nur ein geringer Schutz: Die Angreifer-App kann den Annäherungssensor nutzen, um zu erkennen, wann das Handy mit dem Bildschirm unten liegt, oder ab wann der Nutzer es ans Ohr hält und nur dann zur Tat schreiten.
Der Angreifer kann auch, wenn der Nutzer es versäumt hat, die Einbettung von GPS-Daten in Fotos abzuschalten, diese auslesen und auf einen anderen Server übertragen und kann somit aktuelle sowie frühere Aufenthaltsorte des Handys in Erfahrung bringen. Die Sicherheitslücke trägt die Kennzeichnung CVE-2019-2234.