20. November 2019, 16:32 Uhr | Lesezeit: 3 Minuten
Immer wieder entdecken Sicherheitsforscher Probleme in Smartphones. Jüngstes Opfer ist die Kamera-App auf Android-Smartphones, die Hackern ungehindert Zugriff auf Fotos und Videos gibt.
Ein Sicherheitsunternehmen hat eine schwerwiegende Schwachstelle in der Kamera-App auf Android-Smartphones gefunden. Diese kann potentiell von bösartigen Apps genutzt werden, um Sie auszuspionieren.
Google-Smartphones und andere betroffen
Das Unternehmen Checkmarx hat gezielt nach Sicherheitslücken in der Kamera-App auf dem Google Pixel 2 XL und dem Pixel 3 gesucht. Tatsächlich ist es den Forschern gelungen, die vorinstallierte Kamera-App zu kapern und zu bösartigen Zwecken zu missbrauchen. Die Forscher konnten die gleiche Schwachstelle auch in der Kamera-App von Samsung-Smartphones feststellen.
Die Schwachstelle ermöglichte es Apps, unerlaubt auf die Smartphone-Kameras und -Mikrofone zuzugreifen und dadurch Fotos und Videos inklusive Audio aufzunehmen. Die Apps waren in der Lage, die Kamera auch dann anzusteuern, wenn das Smartphone gesperrt oder der Bildschirm ausgeschaltet war. Auch Sprachanrufe können damit problemlos aufgezeichnet werden, da die Kamera-App Zugriff auf das Mikrofon hat. Außerdem konnten diesen bösartigen Apps den Nutzerstandort verfolgen und sogar alle gesammelten Daten an einen fremden Server übertragen werden, wenn der Nutzer einer App Zugriff auf den Smartphone-Speicher erlaubt hat.
Auch interessant: Riesen-Aufregung in den USA! Google bekommt Zugriff auf Millionen Patientendaten
Sicherheitsschutz von Android einfach umgangen
Seit Android 6 Marshmallow fragt das Betriebssystem mit Pop-up-Fenster nach, ob der Nutzer einer bestimmten App Zugriff auf Funktionen wie die Kamera, das Mikrofon oder den Speicher geben will. In dem Fall, den Checkmarx publik gemacht hat, mussten die Apps jedoch nicht nach diesen Erlaubnissen fragen, da sie nicht selbst auf die Kamera-Hardware zugreifen. Stattdessen steuern die bösartigen Apps die vorinstallierten Kamera-Apps an und verschaffen sich so den Zugriff, ohne von Androids Erlaubnisnachfrage gestoppt zu werden. Das bedeutet, dass Videos und Fotos einfach aufgenommen werden können und nur der Zugriff auf den Speicher erforderlich ist, um die Daten weiterzugeben.
So wurde die Kamera-App gehackt
In ihrem Report präsentieren die Forscher von Checkmarx auch ein Proof of Concept (Machbarkeitsnachweis), um die Anwendungsmöglichkeit der Sicherheitslücke im echten Leben zu belegen. Dafür hat das Unternehmen eigens eine als Wetter-App getarnte Anwendung entwickelt. Einmal geöffnet, etabliert die App eine Verbindung mit einem Server, die auch nach Schließen der App nicht unterbrochen wird. Der Server kann kann auf die Kamera zugreifen und die aufgezeichneten Bilder und Videos übertragen. Es können sogar GPS-Daten mit den Bilder und Videos abgeglichen werden, um herauszufinden, wo diese aufgenommen wurden. Wie leicht der ganze Prozess abläuft, können Sie in diesem Video sehen:
Auch interessant: NSA warnt – Windows-10-Nutzer sollten sofort updaten!
36 Apps betroffen Banking-Trojaner greift selbst sichere Android-Smartphones an
Von Schadsoftware bedroht Diese 14 iPhone-Apps sollten Sie sofort löschen
BSI warnt Sicherheitslücke in Samsung-Smartphones – Nutzer sollten handeln!
Lücke bei Google und Samsung geschlossen
Der Report über die Schwachstelle mit der Bezeichnung CVE-2019-2234 wurde im Juli 2019 an Googles Sicherheitsteam übertragen, im August wurde die Schwachstelle von Samsung bestätigt. Google hat seine eigene Kamera-App bereits im Juli mit einem Sicherheitspatch aktualisiert, die Geräte des Herstellers sind damit außer Gefahr. Einen Patch für andere Hersteller hat das Unternehmen zur Verfügung gestellt. Laut Android Authority ist nicht bekannt, welche Hersteller außer Google und Samsung betroffen waren. Die Geräte beider Unternehmen sind mit aktuellen Sicherheits-Patches nun geschützt, andere Hersteller können weiterhin betroffen sein, soweit der Patch nicht installiert wurde.
