La firma de seguridad de aplicaciones, Checkmarx, ha detallado múltiples vulnerabilidades en las aplicaciones de cámara de los teléfonos inteligentes Android de varios proveedores líderes, incluidos Google y Samsung.
Originalmente detectado en los teléfonos inteligentes Pixel 2 XL y Pixel 3 de Google, las vulnerabilidades (CVE-2019-2234) provienen de 'problemas de omisión de permisos' que pueden permitir a los atacantes usar aplicaciones de terceros para tomar fotos, grabar videos y escuchar llamadas telefónicas sin permiso.
Según una publicación de blog oficial de Checkmarx , un análisis detallado de la aplicación Google Camera realizado por los investigadores de la compañía encontró que al manipular acciones e intenciones específicas, un atacante puede controlar la aplicación para tomar fotos y / o grabar videos a través de una aplicación maliciosa que tiene sin permisos para hacerlo. Aparentemente, la vulnerabilidad también permite a los actores maliciosos eludir las políticas de permisos de almacenamiento para acceder a los archivos multimedia en el teléfono, así como a los metadatos del GPS para localizar al usuario.
Un ataque de prueba de concepto (PoC) diseñado e implementado por los investigadores aparentemente muestra que las aplicaciones maliciosas no necesitarán ningún permiso especial más allá del permiso de almacenamiento básico. "Cuando el cliente inicia la aplicación (maliciosa), esencialmente crea una conexión persistente de regreso al servidor de comando y control (C&C) y espera comandos e instrucciones del atacante ... Incluso cerrar la aplicación no termina la conexión persistente" , dijo la empresa.
Una vez que el dispositivo se ve comprometido, el atacante puede tomar fotos y videos con el teléfono de la víctima y subirlo al servidor de C&C. También pueden analizar potencialmente todas las fotos para etiquetas GPS y ubicar el teléfono en un mapa global, determinando así la ubicación geográfica de la víctima desprevenida. Además, el permiso de audio y video también le permite al hacker grabar automáticamente las llamadas telefónicas de ambos lados de la conversación.
Al ser informado por el equipo de investigación de Checkmarx, Google investigó el asunto por sí solo y descubrió que las vulnerabilidades no eran específicas de los dispositivos Pixel. Según el gigante de las búsquedas, el impacto fue mucho mayor y se extendió al ecosistema más amplio de Android, afectando a múltiples proveedores. Sin embargo, la compañía dice que abordó el problema a través de una actualización de la aplicación Google Camera en julio de 2019 pocos días después de haber sido informada del problema. Samsung también confirmó los hallazgos y comenzó a tomar medidas para mitigar el problema.
Fecha actualización el 2021-11-20. Fecha publicación el 2019-11-20. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: beebom Version movil