celular samsung google
Android

Falha grave no Android permite que acessem sua câmera sem permissão

4 Minutos de Leitura
Vulnerabilidade em celulares Google e Samsung pode permitir acesso a câmera, fotos e vídeo, e até mesmo metadata de GPS

Uma vulnerabilidade de segurança de assustar foi descoberta em vários modelos de smartphones Android fabricados pela Google, Samsung e outros que podem permitir que aplicativos com código malicioso tirem fotos em segredo e gravem vídeos – mesmo sem permissões específicas para isso.

[+] MCom projeta que tecnologia 5G gere mais de R$ 88 bilhões no comércio brasileiro até 2035

Você já deve saber que o modelo de segurança do sistema operacional móvel Android se baseia principalmente nas permissões do dispositivo, onde cada aplicativo precisa definir explicitamente quais serviços, recursos do dispositivo ou informações do usuário que deseja acessar.

No entanto, os pesquisadores da, Checkmarx, uma empresa especialista em segurança, descobriram que uma vulnerabilidade, marcada com a tag CVE-2019-2234, em aplicativos de câmera de fábrica de milhões de dispositivos e poderia ser aproveitada por invasores ou desenvolvedores maliciosos para contornar essas restrições e acessar a câmera e o microfone do dispositivo sem qualquer permissão prévia para fazê-lo.

Como os invasores podem explorar a vulnerabilidade do aplicativo da câmera?

O cenário de ataque envolve um aplicativo não autorizado que só precisa acessar o armazenamento do dispositivo (ou seja, cartão SD), que é uma das permissões solicitadas mais comuns e não levanta suspeitas.

Segundo os pesquisadores, apenas manipulando “ações e intenções” específicas, um aplicativo mal-intencionado pode induzir os aplicativos vulneráveis ​​da câmera a realizar ações em nome do atacante, que pode roubar fotos e vídeos do armazenamento do dispositivo após a captura.

Como os aplicativos de câmera para smartphone já têm acesso às permissões necessárias, a falha pode permitir que invasores tirem fotos de maneira indireta e clandestina, gravem vídeos, escutem conversas e acompanhem a localização, mesmo que o telefone esteja bloqueado, a tela está desligada ou o aplicativo fechado.

[+] MCom projeta que tecnologia 5G gere mais de R$ 88 bilhões no comércio brasileiro até 2035

“Após uma análise detalhada do aplicativo Google Camera, nossa equipe descobriu que, ao manipular ações e intenções específicas, um invasor pode controlar o aplicativo para tirar fotos e / ou gravar vídeos por meio de um aplicativo não autorizado que não tem permissão para fazê-lo”.

“Além disso, descobrimos que em certos casos de ataque permitem que atores mal-intencionados contornem várias políticas de permissão de armazenamento, dando-lhes acesso a vídeos e fotos salvos no aparelho, bem como metadados de GPS incorporados nas fotos, para localizar o usuário tirando uma foto ou vídeo e analisando o dados EXIF ​​adequados. Essa mesma técnica também se aplica ao aplicativo Câmera da Samsung.”

Checkmarx, sobre a falha de segurança

Para demonstrar o tamanho do risco dessa vulnerabilidade no Android, os pesquisadores criaram um aplicativo invasor como prova de conceito, mascarado como um inocente aplicativo de clima que apenas pede permissão básica de armazenamento.

O aplicativo PoC veio em duas partes: o aplicativo cliente em execução em um dispositivo Android e o servidor de comando e controle (C&C) controlado pelo invasor ao qual o aplicativo cria uma conexão permanente, para que o fechamento do aplicativo não encerre a conexão do servidor.

[+] Cisco anuncia lançamento de 5G privado para empresas

O aplicativo malicioso desenvolvido pelos pesquisadores conseguiu executar uma longa lista de tarefas maliciosas, incluindo:

  • Ligar o aplicativo da câmera no telefone vítima para tirar fotos e gravar vídeos e depois carregá-lo (recuperá-lo) no servidor C&C.
  • Puxar metadados de GPS incorporados em fotos e vídeos armazenados no telefone para localizar o usuário.
  • Aguardar uma chamada de voz e gravar automaticamente o áudio dos dois lados da conversa e vídeo do lado da vítima.
  • Operar no modo furtivo enquanto tira fotos e grava vídeos, o obturador da câmera não faz som de ativação.

O aplicativo mal-intencionado implementou a opção de espera por uma chamada de voz através do sensor de proximidade do telefone, que pode detectar quando o telefone é mantido no ouvido da vítima.

Os pesquisadores também publicaram um vídeo de exploração bem-sucedida das vulnerabilidades no Google Pixel 2 XL e Pixel 3 e confirmaram que as vulnerabilidades eram válidas para qualquer modelo de telefone do Google.

Divulgação de vulnerabilidades e disponibilidade de patches

A equipe de pesquisa da Checkmarx relatou responsavelmente suas descobertas à Google no início de julho com o aplicativo PoC e um vídeo demonstrando um cenário de ataque.

O Google confirmou e já remediou a vulnerabilidade em sua linha de dispositivos Pixel com uma atualização de câmera disponibilizada em julho e entrou em contato com outros fornecedores de OEMs dos smartphones baseados em Android no final de agosto para informá-los sobre o problema, que a empresa classificou como gravidade “Alta”.

No entanto, o Google manteve para si quais os fabricantes e modelos afetados.

“Agradecemos a Checkmarx por chamar nossa atenção e por trabalhar com parceiros do Google e Android para coordenar a divulgação”

“O problema foi solucionado em dispositivos afetados do Google por meio de uma atualização da Play Store para o aplicativo de câmera do Google em julho de 2019. Um patch também foi disponibilizado para todos os parceiros”

Google, em resposta ao relato da falha CVE-2019-2234

A Checkmarx também relatou a vulnerabilidade para a Samsung que afetou o aplicativo Câmera. A Samsung confirmou e corrigiu o problema no final de agosto, embora não tenha sido revelado quando a empresa corrigiu a falha.

Samsung, quanto às providências tomadas quanto a falha em seus dispositivos.

Para se proteger de ataques que envolvem esta vulnerabilidade, verifique se você está executando a versão mais recente do aplicativo da câmera no seu smartphone Android.

Além disso, também é recomendável executar a versão mais recente do sistema operacional Android e atualizar regularmente todos aplicativos instalados no telefone.

[+] Cisco anuncia lançamento de 5G privado para empresas


Usa TELEGRAM?!

Venha participar do nosso Grupo Exclusivo de Ofertas e Descontos do Programadores Brasil. Aqui você encontra os melhores preços para Notebooks, Celulares, Tablets, Headsets e eletrônicos em geral! Acesse: https://t.me/progbrasilcupons https://t.me/progbrasilcupons


Deixe o seu comentário

O seu endereço de e-mail não será publicado.

Leia Também

Últimas Notícias