Ameaça de segurança da câmera Android, divulgado e, desde então, endereçado, tinha vulnerabilidades de espionagem. Eles foram corrigidos pelo Google e pela Samsung com um patch lançado para dispositivos Pixel e Samsung. As manchetes recentes em torno da falha nos dispositivos Android provocaram um pensamento desconfortável no mais recente dos inúmeros pensamentos desconfortáveis ​​sobre os riscos de segurança no ecossistema Android.

Imagine que seu aplicativo está gravando vídeo e tirando fotos sem sua permissão.

Resumidamente, invasores podem sequestrar a câmera do seu telefone. Dan Goodin em Ars Technica :Tratava-se de "um aplicativo não precisava de nenhuma permissão para fazer a câmera tirar fotos e gravar vídeo e áudio".

E se o seu telefone estivesse bloqueado? Eles ainda podiam fazer isso. E se sua tela estivesse desligada? Eles ainda podiam fazer isso.

Na terça-feira, Erez Yalon, Diretor de Pesquisa de Segurança da Checkmarx, abriu sobre os bugs, a estratégia de ataque de sua equipe, e as vulnerabilidades que eles descobriram (CVE-2019-2234).

Enquanto isso, Assuntos de Segurança na terça-feira apresentou o assunto a seus leitores, Dizendo que especialistas em cibersegurança da Checkmarx descobriram múltiplas vulnerabilidades nos aplicativos de câmera Android fornecidos pelo Google e Samsung e que poderiam ter sido explorados por hackers para espionar centenas de milhões de usuários.

"As vulnerabilidades são rastreadas coletivamente como CVE-2019-2234, invasores podem explorá-los para realizar várias atividades, incluindo a gravação de vídeos, tirando fotos, gravando chamadas de voz, rastreando a localização do usuário. "

Quanto ao blog da Checkmarx, Yalon detalhou o caminho para a descoberta. "Para entender melhor como as câmeras de smartphones podem estar expondo os usuários a riscos de privacidade, a equipe de pesquisa de segurança da Checkmarx invadiu os próprios aplicativos que controlam essas câmeras para identificar potenciais cenários de abuso. A equipe tem um Google Pixel 2 XL e um Pixel 3 em mãos, em última análise, encontrando várias vulnerabilidades preocupantes decorrentes de "problemas de desvio de permissão."

A equipe testou as duas versões do Pixel (2 XL / 3) em seus laboratórios. A equipe entregou um vídeo de prova de conceito (PoC) e um relatório técnico. As notas de vídeo diziam "A equipe de pesquisa de segurança da Checkmarx demonstra como explorar vulnerabilidades encontradas no aplicativo de câmera do Google, forçando o dispositivo a tirar fotos, vídeos, e bisbilhotar sem o conhecimento do usuário. "

Yalon disse que as descobertas foram compartilhadas com o Google, Samsung e outros OEMs de smartphones baseados em Android.

Linha do tempo de ZDNet :O Google foi informado das descobertas dos pesquisadores em 4 de julho. O Google registrou o CVE e confirmou que outros fornecedores foram afetados. Uma correção foi lançada. O Google disse em um comunicado. "O problema foi resolvido em dispositivos Google afetados por meio de uma atualização da Play Store para o aplicativo Câmera do Google em julho de 2019. Um patch também foi disponibilizado para todos os parceiros."

Um porta-voz da Samsung disse entretanto Business Insider a empresa também lançou patches para resolver o problema.

Alfred Ng na CNET relatou isso depois que a Checkmarx informou o Google e a Samsung sobre o problema de segurança em julho. As duas empresas disseram à Checkmarx que corrigiram o problema em uma atualização da Play Store no mesmo mês. Contudo, Ng adicionado, "Enquanto o patch estiver disponível, não está claro se todos os fabricantes de dispositivos afetados emitiram a correção. "

Dan Goodin em Ars Technica tinha uma nota semelhante de cautela / "Até recentemente, Os pontos fracos nos aplicativos de câmera do Android do Google e da Samsung possibilitaram que aplicativos maliciosos gravassem vídeo e áudio e tirassem imagens e depois enviassem-nas para um servidor controlado pelo invasor - sem nenhuma permissão para fazer isso. Aplicativos de câmera de outros fabricantes ainda podem ser suscetíveis. "

Aaron Holmes , Business Insider , e Dan Goodin, Ars Technica, disseram a seus leitores o que fazer para não se arrepender:verifique seu dispositivo Android, claro e simples, para ver se está vulnerável. Eles também sugeriram maneiras de verificar, se o dispositivo que precisava de verificação não era Pixel nem Samsuing, como Goodin observou que "aplicativos de câmera de outros fabricantes ainda podem ser suscetíveis."

© 2019 Science X Network