Die Sicherheitsexperten von Checkmarx haben am Dienstag die Details zu einer fiesen Sicherheitslücke in den Kamera-Apps für Android-Smartphone veröffentlicht. Angreifer konnten und können die Lücke missbrauchen, um ohne dem Wissen des Smartphone-Besitzers Fotos und Videos zu knipsen und dessen Standort über GPS zu ermitteln. Diese Daten können dann unbemerkt beispielsweise an einen Server gesendet werden. Schuld ist ein Fehler in den Berechtigungen, durch den sich Angreifer einen Zugriff auf die Kamera-Apps verschaffen konnten, obwohl die Android-Sicherheitsmaßnahmen dies eigentlich verhindern sollen.

Der Fehler war zunächst in der Kamera-App von Google entdeckt worden. Weitere Recherchen ergaben dann aber, dass auch die Kamera-App von Samsung betroffen ist. Konkret ermöglicht die Lücke den Angreifern folgende Angriffsszenarien:

Vorbildlich zeigt sich Checkmarx im Umgang mit der Sicherheitslücke: Aufgrund der Brisanz informierten die Experten zunächst das Google-Sicherheitsteam und stellten dabei auch einen Proof-of-Concept zur Verfügung. Diese Informationen wurden am 4. Juli 2019 an Google gesendet und am gleichen Tag bestätigt. Zunächst bewertete Google die Sicherheitslücke nur als "moderat". Nach einer Rücksprache mit Checkmarx wurde die Bewertung der Lücke schließlich auf "hoch" geändert. Die entsprechende Lücke wurde dann von Google mit den Android-Sicherheitsupdates vom 1. August 2019 und der CVE-2019-2234 in der Kamera-App in Android geschlossen.

Am 18. August kontaktierte Checkmarx dann auch Samsung. Am 29. August 2019 bestätigte Samsung, dass seine Geräte ebenfalls betroffen sind und schloss die Lücke mit Updates. Im November 2019 stimmten sowohl Google als auch Samsung der Veröffentlichung der Details über die Sicherheitslücke zu.

Bereits geschützt sind alle Android-Nutzer, die die Kamera-App seit Juli bereits aktualisiert haben. Wer allerdings noch eine veraltete Version der Google-Kamera-App nutzt, der könnte Opfer einer Attacke werden. Die Kamera-App von Google sollte also über den Google Play Store aktualisiert werden, wenn dies schon seit Monaten nicht mehr geschehen sein sollte. Samsung-Smartphone-Besitzer sind geschützt, wenn sie regelmäßig alle von Samsung bereitgestellten Updates für ihr Smartphone auch tatsächlich installieren. (PC-Welt)