ホーム > mixiニュース > IT・インターネット > モバイル > Androidの「カメラ」アプリに無断で写真や動画を撮影・送信する脆弱性(修正済み)

Androidの「カメラ」アプリに無断で写真や動画を撮影・送信する脆弱性(修正済み)

2

2019年11月20日 08:22  ITmedia NEWS

  • 限定公開( 2 )

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真

 米GoogleのAndroidアプリ「Googleカメラ」に、ユーザーが気づかぬうちに動画や写真を撮影し、サーバにアップロードできてしまう不正アプリに悪用できる脆弱性があったと、イスラエルのセキュリティ企業Checkmarxが11月19日(現地時間)、調査結果を添えて発表した。Googleカメラだけでなく、韓国Samsung Electronicsのスマートフォンのカメラや、その他のOEM製Android端末のカメラにも影響するという。



【その他の画像】



 Androidアプリは、アプリが端末のカメラやマイクにアクセスする際はユーザーに明示的に許可を求めるように設計されているが、Checkmarxの調査によると、この制限を簡単に回避できる脆弱性があった。この脆弱性を悪用すれば、ユーザーの許可なくカメラで写真や動画を撮影したり、端末に保存されている写真や動画をサーバにアップロードできる。



 また、画像や動画にGPSデータが埋め込まれていれば、攻撃者はサーバに集めたデータからユーザーの位置を追跡できる。



 リスクを実証するためにCheckmarxが開発した不正アプリ(天気アプリになりすましたアプリ)では、以下のことが可能だった。



・端末がロックされていても、画面がオフでも、アプリが起動していなくても、写真や動画を撮影する



・端末に保存されている写真や動画のGPSデータを取得する



・通話を傍受して記録する



・シャッター音の消音



・端末内の写真や動画のサーバへのアップロード



・SDカード内の画像や動画のアップロード



 Chekmarxは7月にGoogleとSamsungにこの脆弱性について報告し、両社はカメラアプリのアップデートで対処済みという(Googleは8月1日にこの脆弱性を「CVE-2019-2234」として発行した)。Checkmarxは両社の許可を得たため、この脆弱性についてのブログを公開した。



 GoogleとSamsung以外のどのOEMのカメラが影響を受けているのか、それらの修正が済んでいるのかには言及されていない。



 Checkmarxは公式ブログで、Googleからの以下のコメントを紹介している。「Checkmarxがこの問題に注目し、GoogleおよびAndroidパートナーと協力して開示を調整してくれたことに感謝する。この問題は、影響を受けたGoogleデバイスで、2019年7月にGoogleカメラのアップデートで解決した。また、すべてのパートナーがパッチを利用できるようになっている」


    あなたにおすすめ

    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定