Nueva vulnerabilidad permite que las aplicaciones de Android accedan a la cámara sin permiso
Se ha descubierto una alarmante vulnerabilidad de seguridad en varios modelos de teléfonos inteligentes Android fabricados por Google, Samsung y otras marcas.
Esta vulnerabilidad podrían permitir que aplicaciones maliciosas tomen fotos y graben videos en secreto, incluso cuando no tienen permisos específicos para hacerlo.
Ya debes saber que el modelo de seguridad del sistema operativo móvil Android se basa principalmente en los permisos del dispositivo, donde cada aplicación necesita definir explícitamente a qué servicios, capacidades del dispositivo o información del usuario desea acceder.
Sin embargo, los investigadores de Checkmarx descubrieron que una vulnerabilidad, la cual han identificado como CVE-2019-2234, en aplicaciones de cámara preinstaladas en millones de dispositivos.
Los ciberdelincuentes podrían aprovecharla para eludir tales restricciones, esto con el fin de acceder a la cámara y el micrófono del dispositivo, sin ningún permiso para hacerlo.
¿Cómo pueden los ciberdelincuentes explotar la vulnerabilidad?
El escenario de ataque implica una aplicación no autorizada que solo necesita acceso al almacenamiento del dispositivo (es decir, la memoria SD), que es uno de los permisos solicitados más comunes y no genera sospechas.
Según los investigadores, simplemente manipulando “acciones e intenciones ” específicas, una aplicación maliciosa puede engañar a las aplicaciones vulnerables de la cámara.
Estas aplicaciones realizarían acciones en nombre del atacante, que luego puede robar fotos y videos del almacenamiento del dispositivo, después de ser tomadas.
Dado que las aplicaciones de cámaras de los teléfono inteligente ya tienen acceso a los permisos requeridos, la vulnerabilidad podría permitir que los atacantes tomen fotos indirectamente y subrepticiamente, graben videos, escuchen conversaciones y rastreen la ubicación.
Todo lo anterior lo pueden lograr incluso si el teléfono está bloqueado, la pantalla está apagada o la aplicación está apagada o cerrada.
“Después de un análisis detallado de la aplicación Google Camera, nuestro equipo descubrió que al manipular acciones e intenciones específicas, un atacante puede controlar la aplicación para tomar fotos y / o grabar videos a través de una aplicación no autorizada que no tiene permisos para hacerlo”, según afirma Checkmarx en una publicación.
“Además, descubrimos que ciertos escenarios de ataque permiten a los actores maliciosos eludir varias políticas de permisos de almacenamiento, dándoles acceso a videos y fotos almacenados.
Por si fuera poco, también pueden acceder a metadatos GPS incrustados en las fotos, para localizar al usuario tomando una foto o un video y analizando los datos EXIF adecuados. Esta misma técnica también se aplica a la aplicación de la cámara de Samsung “.
Prueba de concepto
Para demostrar el riesgo de vulnerabilidad para los usuarios de Android, los investigadores crearon una aplicación maliciosa de prueba de concepto (PoC); es una aplicación disfrazada como una inocente app de clima, que solo solicita el permiso de almacenamiento básico.
La aplicación PoC se dividió en dos partes: la aplicación cliente que se ejecuta en un dispositivo Android y un servidor de comando y control controlado (C&C) del atacante, con el que la aplicación crea una conexión persistente para que el cierre de la aplicación no finalice la conexión del servidor.
La aplicación maliciosa diseñada por los investigadores pudo realizar una larga lista de tareas maliciosas, entre las que destacan:
- Hacer que la aplicación de la cámara en el teléfono de la víctima tome fotos y grabe videos y luego subirlas (recuperarla) al servidor de C&C.
- Extraer metadatos GPS integrados en fotos y videos almacenados en el teléfono para localizar al usuario.
- Esperar una llamada de voz y grabar automáticamente audio de ambos lados de la conversación y video del lado de la víctima.
- Operar en modo sigiloso mientras toma fotos y graba videos, por lo que no suena el obturador de la cámara para alertar al usuario.
La aplicación maliciosa implementó la opción de esperar una llamada de voz a través del sensor de proximidad del teléfono, que puede detectar cuándo el teléfono está cerca del oído de la víctima.
Los investigadores también publicaron un video sobre la explotación exitosa de las vulnerabilidades en Google Pixel 2 XL y Pixel 3.
Asimismo, confirmaron que las vulnerabilidades eran relevantes para todos los modelos de teléfonos de Google.
Divulgación de vulnerabilidad y disponibilidad de parches
El equipo de investigación de Checkmarx informó de manera responsable sus hallazgos a Google, esto principios de julio con la aplicación PoC y un video que muestra un escenario de ataque.
Google confirmó y abordó la vulnerabilidad en su línea de dispositivos Pixel con una actualización de cámara que estuvo disponible en julio, y contactó a otros fabricantes de teléfonos inteligentes basados en Android a fines de agosto para informarles sobre el problema, que la compañía calificó como “Alto” en severidad .
Sin embargo, Google no reveló los nombres de los fabricantes y modelos afectados.
“Apreciamos que Checkmarx nos llame la atención y trabaje con los socios de Google y Android para coordinar la divulgación”, dijo Google.
“El problema se resolvió en los dispositivos de Google afectados a través de una actualización de Play Store de la aplicación de cámara de Google en julio de 2019. También se puso a disposición un parche para todos los socios”.
Checkmarx también informó sobre la vulnerabilidad a Samsung que afectó a su aplicación de cámara.
Samsung confirmó y solucionó el problema a fines de agosto, aunque no se reveló cuando la compañía corrigió la vulnerabilidad.
“Desde que Google nos notificó este problema, posteriormente hemos lanzado parches para abordar todos los modelos de dispositivos Samsung que puedan verse afectados.
Valoramos nuestra asociación con el equipo de Android que nos permitió identificar y abordar este asunto directamente”, dijo Samsung.
¿Cómo protegerte?
Para protegerte de los ataques que rodean esta vulnerabilidad, asegúrate de ejecutar la última versión de la aplicación de la cámara, en tu teléfono inteligente Android.
Además de esto, también te recomiendo ejecutar la última versión del sistema operativo Android, también de actualizar regularmente las aplicaciones instaladas en tu teléfono.