Google confirma la amenaza de seguridad de la c√°mara de Android

El equipo de investigaci√≥n de seguridad de Checkmarx se ha acostumbrado a descubrir vulnerabilidades alarmantes, con divulgaciones anteriores que cubren Alexa y Tinder de Amazon. Sin embargo, el descubrimiento de vulnerabilidades que afectan la c√°mara Android, especialmente¬† la c√°mara de los tel√©fonos de Google y Samsung. ¬ŅY lo peor de todo? Con un potencial de impactar a cientos de millones de usuarios de Android, es el m√°s grande hasta la fecha.

¬ŅQu√© descubrieron los investigadores? Oh, solo una forma para que un atacante tome el control de las aplicaciones de la c√°mara Android y tome fotos, grabe v√≠deos, esp√≠e tus conversaciones de forma remota al grabarlas mientras acerca el tel√©fono a tu o√≠do, identifica tu ubicaci√≥n y m√°s. Todo esto se realiz√≥ en silencio, en segundo plano, sin que el usuario fuera m√°s sabio.

Vulnerabilidades de la aplicación de cámara de Android

Google confirma la amenaza de seguridad de la c√°mara de Android

Cuando el equipo de investigación de seguridad de Checkmarx comenzó a investigar la aplicación Google Camera, en los teléfonos Pixel 2XL y Pixel 3 que tenían a mano, encontraron varias vulnerabilidades. Todo esto se inició por problemas que permitieron a un atacante eludir los permisos de los usuarios.

¬ęNuestro equipo encontr√≥ una manera de manipular acciones e intenciones espec√≠ficas¬Ľ, dijo Erez Yalon, director de investigaci√≥n de seguridad de Checkmarx, ¬ęhaciendo posible que cualquier aplicaci√≥n, sin permisos espec√≠ficos, controle la aplicaci√≥n Google Camera. Esta misma t√©cnica tambi√©n se aplic√≥ a la aplicaci√≥n de c√°mara de Samsung¬Ľ.

Cientos de millones de usuarios afectados

Las implicaciones de estas vulnerabilidades, dada la huella de los teléfonos de Google y Samsung, representaron una amenaza significativa para cientos de millones de usuarios.

Las vulnerabilidades en s√≠ mismas (CVE-2019-2234) permitieron que una aplicaci√≥n maliciosa obtuviera datos de la c√°mara, el micr√≥fono y los datos de ubicaci√≥n del GPS, todo de forma remota. Las implicaciones de poder hacer esto son lo suficientemente graves. ¬ŅPara qu√©? Para que el Proyecto de C√≥digo Abierto de Android (AOSP) tenga espec√≠ficamente un conjunto de permisos que cualquier aplicaci√≥n debe solicitar al usuario y ser aprobada antes de habilitar tales acciones. Lo que hicieron los investigadores de Checkmarx fue crear un escenario de ataque que abus√≥ de la aplicaci√≥n Google Camera para eludir estos permisos. Lo hicieron creando una aplicaci√≥n maliciosa que explotaba uno de los permisos m√°s solicitados: el acceso al almacenamiento.

¬ęUna aplicaci√≥n maliciosa que se ejecuta en un tel√©fono Android que puede leer la tarjeta SD¬Ľ, dijo Yalon, ¬ęno solo tiene acceso a fotos y v√≠deos anteriores, sino que con esta nueva metodolog√≠a de ataque, se puede dirigir a tomar nuevas fotos y v√≠deos a voluntad. ¬ę

:)