Google confirma la amenaza de seguridad de la cámara de Android

El equipo de investigación de seguridad de Checkmarx se ha acostumbrado a descubrir vulnerabilidades alarmantes, con divulgaciones anteriores que cubren Alexa y Tinder de Amazon. Sin embargo, el descubrimiento de vulnerabilidades que afectan la cámara Android, especialmente  la cámara de los teléfonos de Google y Samsung. ¿Y lo peor de todo? Con un potencial de impactar a cientos de millones de usuarios de Android, es el más grande hasta la fecha.

¿Qué descubrieron los investigadores? Oh, solo una forma para que un atacante tome el control de las aplicaciones de la cámara Android y tome fotos, grabe vídeos, espíe tus conversaciones de forma remota al grabarlas mientras acerca el teléfono a tu oído, identifica tu ubicación y más. Todo esto se realizó en silencio, en segundo plano, sin que el usuario fuera más sabio.

Vulnerabilidades de la aplicación de cámara de Android

Google confirma la amenaza de seguridad de la cámara de Android

Cuando el equipo de investigación de seguridad de Checkmarx comenzó a investigar la aplicación Google Camera, en los teléfonos Pixel 2XL y Pixel 3 que tenían a mano, encontraron varias vulnerabilidades. Todo esto se inició por problemas que permitieron a un atacante eludir los permisos de los usuarios.

«Nuestro equipo encontró una manera de manipular acciones e intenciones específicas», dijo Erez Yalon, director de investigación de seguridad de Checkmarx, «haciendo posible que cualquier aplicación, sin permisos específicos, controle la aplicación Google Camera. Esta misma técnica también se aplicó a la aplicación de cámara de Samsung».

Cientos de millones de usuarios afectados

Las implicaciones de estas vulnerabilidades, dada la huella de los teléfonos de Google y Samsung, representaron una amenaza significativa para cientos de millones de usuarios.

Las vulnerabilidades en sí mismas (CVE-2019-2234) permitieron que una aplicación maliciosa obtuviera datos de la cámara, el micrófono y los datos de ubicación del GPS, todo de forma remota. Las implicaciones de poder hacer esto son lo suficientemente graves. ¿Para qué? Para que el Proyecto de Código Abierto de Android (AOSP) tenga específicamente un conjunto de permisos que cualquier aplicación debe solicitar al usuario y ser aprobada antes de habilitar tales acciones. Lo que hicieron los investigadores de Checkmarx fue crear un escenario de ataque que abusó de la aplicación Google Camera para eludir estos permisos. Lo hicieron creando una aplicación maliciosa que explotaba uno de los permisos más solicitados: el acceso al almacenamiento.

«Una aplicación maliciosa que se ejecuta en un teléfono Android que puede leer la tarjeta SD», dijo Yalon, «no solo tiene acceso a fotos y vídeos anteriores, sino que con esta nueva metodología de ataque, se puede dirigir a tomar nuevas fotos y vídeos a voluntad. «

:)