В Android-приложении камеры нескольких крупных производителей найдена уязвимость, которая позволяет следить за пользователями.

Речь идет о приложениях камер Google и Samsung. Уязвимость получила маркировку CVE-2019-2234. Обнаружили ее специалисты компании Checkmarx.

Воспользовавшиеся указанной уязвимостью хакеры могут делать фотографии и снимать видео на камеру смартфона, пока владелец об этом не подозревает. Снятый материал злоумышленники могут отправить на удалённые сервера. Кроме того, брешь позволяет получить информацию о местоположении пользователя, так как она «вшита» в фотографии.

Чтобы воспользоваться уязвимостью, на устройство требуется установка специального ПО. В качестве демонстрации дыры специалисты создали приложение погоды, которое для своей работы запрашивает доступ к хранилищу устройства. Получив это разрешение, программа смогла получить доступ и к камере смартфона, делая в фоне фотографии и пересылая их на удалённый сервер.

Уязвимость впервые была замечена еще в 2015 году, после выпуска Android 6.0 Marshmallow. Google и Samsung уже выпустили закрывающие дыру обновления, поэтому владельцам устройств с соответствующими приложениями следует обновиться.