Ha sido descubierta una nueva vulnerabilidad en las aplicaciones de cámara de Google y Samsung que permite realizar fotos y grabar vídeo a otras aplicaciones sin que éstas soliciten los permisos necesarios para ello.
Investigadores de la empresa ‘Checkmarx’ han hecho publica una vulnerabilidad descubierta en verano de este año. El fallo afecta a las aplicaciones de cámara de Google y Samsung. Dicha vulnerabilidad ha sido identificada como CVE-2019-2234.
La aplicación de cámara de Google se encuentra instalada por defecto en los dispositivos Pixel de Google, mientras que la aplicación de cámara de Samsung se encuentra instalada en los dispositivos Samsung.
Por seguridad, una aplicación para Android debe solicitar permiso para acceder a la cámara, y por tanto, para tomar fotos y grabar vídeos. Los permisos que debe solicitar son: android.permission.CAMERA y android.permission.RECORD_AUDIO
Además, para el acceso a datos sobre la localización espacial del dispositivo es necesario que la aplicación solicite permisos para ello: android.permission.ACCESS_FINE_LOCATION y android.permission.ACCESS_COARSE_LOCATION
Aprovechando la vulnerabilidad descubierta, una aplicación maliciosa podría tomar fotos y grabar vídeos sin necesidad de solicitar dichos permisos. Además, como las fotografías incluyen metadatos del GPS del dispositivo, la aplicación podría también obtener información sobre la localización del dispositivo sin necesidad de solicitar los permisos para ello.
Como podemos observar en el vídeo publicado por Checkmarx, una aplicación maliciosa que aproveche esta vulnerabilidad puede obtener información confidencial y enviarla al atacante.
La vulnerabilidad reside en los ‘Intents’ que expone las aplicaciones de cámara afectadas. Dichos ‘Intents’ pueden ser ejecutados por otras aplicaciones sin necesidad de permisos especiales.
A través de los ‘intents’, la aplicación maliciosa puede ejecutar la app de cámara y forzarla a grabar vídeos o tomar fotos mientras el dispositivo está bloqueado o incluso mientras el usuario se encuentra en mitad de una llamada, permitiendo grabar el audio de la llamada.
Google corrigió el problema en Julio de 2019, poco después de que se les reportase. Se recomienda a todos los usuarios de la app que actualicen a la última versión para asegurarse de que no les afecta este problema.
Más información:
Post Checkmarx
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera
ALUMNOS 2º SMR COLEGIO LA SALLE SAGRADO CORAZÓN. Debemos tener mucho cuidado con las aplicaciones que instalamos y la fuente de la que lo hacemos ya si no son verificadas antes de ser instaladas puede que dañen nuestro dispositivo o que instale otras aplicaciones por debajo.
También debemos mirar los permisos que nos pide cada aplicación ya que muchos de ellos no son necesarias para su funcionamiento y por tanto no debemos de darle esos permisos para evitar problemas y vulnerabilidades.