" >Detectan vulnerabilidad en dispositivos Android a través de su aplicación de cámara
Conectarse con nosotros

Noticias

Detectan vulnerabilidad en dispositivos Android a través de su aplicación de cámara

Publicado

el

La naturaleza código abierto de Android siempre fue una de sus mayores ventajas. Lamentablemente también deja la puerta abierta a toda clase de vulnerabilidades…

La firma de seguridad Checkmarx realizó un alarmante descubrimiento que afectó a diversos dispositivos Google y Samsung. La vulnerabilidad le permitió a hackers tomar control de las aplicaciones de cámara de tus dispositivos, pudiendo tomar fotos, grabar vídeos y conversaciones, rastrear tu ubicación y demás.

Los investigadores se toparon con la vulnerabilidad en la aplicación de cámara de Google en los Pixel 2XL y 3. Esta le permitió a los atacantes controlar la aplicación de cámara de Google y Samsung usando una aplicación sin la necesidad de ningún permiso especial. Un usuario solo tenía que otorgarle permiso para acceder al almacenamiento, permitiéndole acceder a los contenidos de la memoria interna y la tarjeta SD.

Checkmarx demostró esta vulnerabilidad creando una aplicación de clima falsa que solo requería permiso a tu almacenamiento. La app en sí es inofensiva y no despierta las alarmas de Google Play Protect. Una vez instalada, la aplicación establece una conexión con un servidor remoto y espera por instrucciones. Cerrar la aplicación no cierra la conexión al servidor, lo que permite que el atacante emita comandos a su antojo.

Tras esto, el atacante puede:
  • Capturar fotos y videos con la cámara del smartphone y subirlos en un servidor remoto. Todo esto es posible sin alertar al usuario ya que los sonidos del obturador de la cámara están silenciados.
  • Determinar cuándo el usuario está en una llamada usando el sensor de proximidad de los dispositivos y grabar el audio del remitente y del receptor. Además el atacante también puede grabar vídeo del usuario mientras captura audio.
  • Obtener acceso sin restricciones a todas las fotos y vídeos en el dispositivo.
  • Capturar etiquetas GPS de todas las fotos en el dispositivo. Solo funciona cuando el usuario lo tiene habilitado a través de la aplicación de la cámara. Los datos se pueden usar para crear un mapa del historial de ubicaciones del usuario.
  • Todo esto es posible incluso si el dispositivo está bloqueado.

Checkmarx informó a Google de esta vulnerabilidad en julio de este año. Google inicialmente le dio a esta vulnerabilidad el rango de “moderada” y recién fue subida a “alta” tras comentarios adicionales de Checkmarx. En agosto Google dio a conocer esta vulnerabilidad a diversos fabricantes de smartphones. Ese mismo mes Samsung reconoció haber sido afectado por la misma.

Google afirma que el problema fue solucionado en el mismo mes de julio gracias a una actualización a la Cámara de Google. Aún así no sabemos cuantos usuarios fueron afectados.

Fuente: WCCFTech