• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página
  • Inicio
  • Auditoría
  • Eventos
  • Formación
  • General
  • Malware
  • Vulnerabilidades
  • Un blog de

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Bug en la app de cámara de Android permite a otras apps usar la cámara sin los permisos necesarios

Bug en la app de cámara de Android permite a otras apps usar la cámara sin los permisos necesarios

19 noviembre, 2019 Por Alberto Segura 1 comentario

Ha sido descubierta una nueva vulnerabilidad en las aplicaciones de cámara de Google y Samsung que permite realizar fotos y grabar vídeo a otras aplicaciones sin que éstas soliciten los permisos necesarios para ello.

Investigadores de la empresa ‘Checkmarx’ han hecho publica una vulnerabilidad descubierta en verano de este año. El fallo afecta a las aplicaciones de cámara de Google y Samsung. Dicha vulnerabilidad ha sido identificada como CVE-2019-2234.

La aplicación de cámara de Google se encuentra instalada por defecto en los dispositivos Pixel de Google, mientras que la aplicación de cámara de Samsung se encuentra instalada en los dispositivos Samsung.

Por seguridad, una aplicación para Android debe solicitar permiso para acceder a la cámara, y por tanto, para tomar fotos y grabar vídeos. Los permisos que debe solicitar son: android.permission.CAMERA y android.permission.RECORD_AUDIO

Además, para el acceso a datos sobre la localización espacial del dispositivo es necesario que la aplicación solicite permisos para ello: android.permission.ACCESS_FINE_LOCATION y android.permission.ACCESS_COARSE_LOCATION

Aprovechando la vulnerabilidad descubierta, una aplicación maliciosa podría tomar fotos y grabar vídeos sin necesidad de solicitar dichos permisos. Además, como las fotografías incluyen metadatos del GPS del dispositivo, la aplicación podría también obtener información sobre la localización del dispositivo sin necesidad de solicitar los permisos para ello.

Como podemos observar en el vídeo publicado por Checkmarx, una aplicación maliciosa que aproveche esta vulnerabilidad puede obtener información confidencial y enviarla al atacante.

La vulnerabilidad reside en los ‘Intents’ que expone las aplicaciones de cámara afectadas. Dichos ‘Intents’ pueden ser ejecutados por otras aplicaciones sin necesidad de permisos especiales.

A través de los ‘intents’, la aplicación maliciosa puede ejecutar la app de cámara y forzarla a grabar vídeos o tomar fotos mientras el dispositivo está bloqueado o incluso mientras el usuario se encuentra en mitad de una llamada, permitiendo grabar el audio de la llamada.

Google corrigió el problema en Julio de 2019, poco después de que se les reportase. Se recomienda a todos los usuarios de la app que actualicen a la última versión para asegurarse de que no les afecta este problema.

Más información:

Post Checkmarx
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Archivado en: Vulnerabilidades Etiquetado como: Android, camera, Google, unauthorized access, vulnerabilidad

Interacciones del lector

Comentarios

  1. HelenaLaProfe dice

    28 noviembre, 2019 al 9:52 am

    ALUMNOS 2º SMR COLEGIO LA SALLE SAGRADO CORAZÓN. Debemos tener mucho cuidado con las aplicaciones que instalamos y la fuente de la que lo hacemos ya si no son verificadas antes de ser instaladas puede que dañen nuestro dispositivo o que instale otras aplicaciones por debajo.
    También debemos mirar los permisos que nos pide cada aplicación ya que muchos de ellos no son necesarias para su funcionamiento y por tanto no debemos de darle esos permisos para evitar problemas y vulnerabilidades.

    Responder

Deja un comentario Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral primaria

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Populares de UAD

  • Nueva vulnerabilidad de Android afecta a todas sus versiones
  • Google ofrece 1 millón de dólares al que consiga hackear su chip de seguridad Titan M
  • Ring proporcionaba a la policía un mapa detallado de las instalaciones de los videoporteros
  • Nuevo troyano espía para Chrome envía los datos robados a una base de datos Mongo
  • RevengeHotels una campaña de malware para robar datos de la tarjeta de crédito a los clientes de hoteles.

Entradas recientes

  • RevengeHotels una campaña de malware para robar datos de la tarjeta de crédito a los clientes de hoteles.
  • Ring proporcionaba a la policía un mapa detallado de las instalaciones de los videoporteros
  • Nueva vulnerabilidad de Android afecta a todas sus versiones
  • Nuevo troyano espía para Chrome envía los datos robados a una base de datos Mongo
  • Múltiples vulnerabilidades en Squid Proxy
  • Europol clausura la operación ‘Imminet Monitor’ con 13 arrestos
  • MarketPlace de Magento expone información de usuarios tras una brecha de seguridad

Footer

Una al Día

Una-al-día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • RevengeHotels una campaña de malware para robar datos de la tarjeta de crédito a los clientes de hoteles.
  • Ring proporcionaba a la policía un mapa detallado de las instalaciones de los videoporteros
  • Nueva vulnerabilidad de Android afecta a todas sus versiones
  • Nuevo troyano espía para Chrome envía los datos robados a una base de datos Mongo
  • Múltiples vulnerabilidades en Squid Proxy

Etiquetas

0-day Android Apple Chrome Criptomonedas cve D-Link Facebook firefox Google iOS Koodous leak linux malware Microsoft Microsoft Edge Moodle Mozilla mySQL Netgear NetWeaver NVIDIA ONTSI OpenOffice OpenSSH OpenSSL Opera Oracle OS X Phishing PHP Poc PostgreSQL Pwn2Own QuickTime ransomware rce Red Hat Squid vulnerabilidad vulnerabilidades vulnerability Windows zero day

Copyright © 2019 · Hispasec

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumiremos que estás de acuerdo.Vale