Patch verfügbar

Sicherheitslücke ermöglichte heimlich Zugriff auf Kameras von Android-Smartphones

Google Pixel 2 Rückseite
Eine Schwachstelle wurde in der Kamera-App gefunden, die unter anderem auf dem Google Pixel 2 vorinstalliert ist
Foto: Getty Images

Immer wieder entdecken Sicherheitsforscher Probleme in Smartphones. Jüngstes Opfer ist die Kamera-App auf Android-Smartphones, die Hackern ungehindert Zugriff auf Fotos und Videos gibt.

Ein Sicherheitsunternehmen hat eine schwerwiegende Schwachstelle in der Kamera-App auf Android-Smartphones gefunden. Diese kann potentiell von bösartigen Apps genutzt werden, um Sie auszuspionieren.

Google-Smartphones und andere betroffen

Das Unternehmen Checkmarx hat gezielt nach Sicherheitslücken in der Kamera-App auf dem Google Pixel 2 XL und dem Pixel 3 gesucht. Tatsächlich ist es den Forschern gelungen, die vorinstallierte Kamera-App zu kapern und zu bösartigen Zwecken zu missbrauchen. Die Forscher konnten die gleiche Schwachstelle auch in der Kamera-App von Samsung-Smartphones feststellen.

Die Schwachstelle ermöglichte es Apps, unerlaubt auf die Smartphone-Kameras und -Mikrofone zuzugreifen und dadurch Fotos und Videos inklusive Audio aufzunehmen. Die Apps waren in der Lage, die Kamera auch dann anzusteuern, wenn das Smartphone gesperrt oder der Bildschirm ausgeschaltet war. Auch Sprachanrufe können damit problemlos aufgezeichnet werden, da die Kamera-App Zugriff auf das Mikrofon hat. Außerdem konnten diesen bösartigen Apps den Nutzerstandort verfolgen und sogar alle gesammelten Daten an einen fremden Server übertragen werden, wenn der Nutzer einer App Zugriff auf den Smartphone-Speicher erlaubt hat.

Auch interessant: Riesen-Aufregung in den USA! Google bekommt Zugriff auf Millionen Patientendaten

Sicherheitsschutz von Android einfach umgangen

Seit Android 6 Marshmallow fragt das Betriebssystem mit Pop-up-Fenster nach, ob der Nutzer einer bestimmten App Zugriff auf Funktionen wie die Kamera, das Mikrofon oder den Speicher geben will. In dem Fall, den Checkmarx publik gemacht hat, mussten die Apps jedoch nicht nach diesen Erlaubnissen fragen, da sie nicht selbst auf die Kamera-Hardware zugreifen. Stattdessen steuern die bösartigen Apps die vorinstallierten Kamera-Apps an und verschaffen sich so den Zugriff, ohne von Androids Erlaubnisnachfrage gestoppt zu werden.

So wurde die Kamera-App gehackt

In ihrem Report präsentieren die Forscher von Checkmarx auch ein Proof of Concept (Machbarkeitsnachweis), um die Anwendungsmöglichkeit der Sicherheitslücke im echten Leben zu belegen. Dafür hat das Unternehmen eigens eine als Wetter-App getarnte Anwendung entwickelt. Einmal geöffnet, etabliert die App eine Verbindung mit einem Server, die auch nach Schließen der App nicht unterbrochen wird. Der Server kann kann auf die Kamera zugreifen und die aufgezeichneten Bilder und Videos übertragen. Es können sogar GPS-Daten mit den Bilder und Videos abgeglichen werden, um herauszufinden, wo diese aufgenommen wurden. Wie leicht der ganze Prozess abläuft, können Sie in diesem Video sehen:

Auch interessant: NSA warnt – Windows-10-Nutzer sollten sofort updaten!

Lücke bei Google und Samsung geschlossen

Der Report über die Schwachstelle mit der Bezeichnung CVE-2019-2234 wurde im Juli 2019 an Googles Sicherheitsteam übertragen, im August wurde die Schwachstelle von Samsung bestätigt. Google hat seine eigene Kamera-App bereits im Juli mit einem Sicherheitspatch aktualisiert, die Geräte des Herstellers sind damit außer Gefahr. Einen Patch für andere Hersteller hat das Unternehmen zur Verfügung gestellt. Laut Android Authority ist nicht bekannt, welche Hersteller außer Google und Samsung betroffen waren. Die Geräte beider Unternehmen sind mit aktuellen Sicherheits-Patches nun geschützt, andere Hersteller können weiterhin betroffen sein, soweit der Patch nicht installiert wurde.

Themen