Checkmarx lần đầu tiên phát hiện ra lỗ hổng (CVE-2019-2234) khi kiểm tra ứng dụng Google Camera trên Pixel 2 XL và Pixel 3. Không dừng lại ở đó, các nhà nghiên cứu còn phát hiện lỗ hổng tương tự trên ứng dụng camera của những nhà sản xuất khác, bao gồm cả Samsung.
Về cơ bản, lỗ hổng này cho phép tin tặc nghe lén cuộc gọi, sử dụng camera trên điện thoại để chụp hình hoặc quay video mà không cần sự đồng ý của người dùng, thậm chí kể cả bạn đã tắt màn hình, tắt ứng dụng.
Bên cạnh đó, tin tặc còn có thể xem được các tệp đa phương tiện trên điện thoại, đồng thời gửi dữ liệu về máy chủ từ xa nếu người dùng đã vô tình cấp quyền truy cập vào bộ nhớ trước đó.
Checkmarx đã liên lạc với Google và Samsung để cảnh báo về lỗ hổng, cả hai đều xác nhận họ bị ảnh hưởng.
Google cho biết vấn đề đã được giải quyết thông qua một bản cập nhật bảo mật, bản vá dành cho các thiết bị khác cũng đã được gửi đến tất cả đối tác.
Trả lời về vấn đề trên, Samsung viết: “Kể từ khi được Google thông báo về vấn đề này, chúng tôi đã phát hành các bản vá cho các thiết bị Samsung có thể bị ảnh hưởng”.
Tuy nhiên, tuyên bố không nói rõ Samsung đã phát hành bản sửa lỗi khi nào hoặc làm thế nào để người dùng có thể kiểm tra xem bản vá đã được cài đặt hay chưa.
Chia sẻ với trang Arstechica, Giám đốc nghiên cứu bảo mật của Checkmarx - Erez Yalon suy đoán rằng lỗ hổng có thể phát sinh từ việc Google cấp quyền cho phép camera truy cập trợ lý giọng nói.
Ngoài Google và Samsung, không rõ có bao nhiêu nhà sản xuất điện thoại Android bị ảnh hưởng bởi lỗ hổng này.
Tuy nhiên, chỉ với hai công ty đó, lỗ hổng đã có khả năng ảnh hưởng đến hàng trăm triệu chủ sở hữu điện thoại thông minh trên toàn thế giới.