Cientos de millones de usuarios afectados por la vulnerabilidad de la cámara Android de Google y Samsung

350
google play
google play

El equipo de investigación de seguridad de Checkmarx ha descubierto una vulnerabilidad que afecta a Google y Samsung, y que potencialmente impactaría a cientos de millones de usuarios de sus cámaras Android.

Según revela Forbes, se trata de una de las vulnerabilidades más graves descubiertas hasta el momento, y no solo por el número de personas que podrían verse afectadas.

El atacante puede tomar el control de las aplicaciones del Smartphone, hacer fotos, espiar las conversaciones de forma remota cuando el usuario acerca el teléfono a su oído, grabar vídeos, identificar ubicación y mucho más, sin que el usuario lo sepa.

“Cuando el equipo de investigación de seguridad de Checkmarx comenzó a investigar la aplicación Google Camera, en los teléfonos inteligentes Pixel 2XL y Pixel 3 que tenían a mano, hallaron varios agujeros . Nuestro equipo encontró una manera de manipular acciones e intenciones específicas”, ha manifestgado Erez Yalon, director de investigación de seguridad de Checkmarx.

Es factible, añade “que cualquier aplicación, sin permisos específicos, controle la aplicación Google Camera. Esta misma técnica también se aplicó a la aplicación de la cámara de Samsung ”.

El truco de ahorrar en preguntas: solo el acceso al almacenamiento

Las vulnerabilidades (CVE-2019-2234) permiten que un malware obtenga datos de la cámara, el micrófono y los datos de ubicación del GPS de forma remota.

Según el artículo de Forbes,  las implicaciones son muy graves. El Proyecto de Código Abierto de Android (AOSP) dispone específicamente de un conjunto de permisos que cualquier aplicación debe solicitar al usuario y ser aprobadas antes de habilitar tales acciones.

Lo que hicieron los investigadores de Checkmarx fue crear un escenario de ataque que abusó de la aplicación Google Camera para eludir estos permisos. ¿Y cómo lo hicieron? Desarrollaron una aplicación maliciosa que recurría a uno de los permisos más solicitados: el acceso al almacenamiento”.  

Checkmarx creó un exploit de prueba de concepto (PoC) al desarrollar una aplicación maliciosa, una app de previsiones meteorológicas, uno de los servicios más solicitados en Google Play Store. Esta aplicación solo pedía el acceso básico al almacenamiento. El usuario no dudaba. No se encontraba ante un montón de preguntas a las que responder afirmativa o negativamente. No requería ningún permiso especial aparte del acceso básico al almacenamiento. Y ahí se ejecutó el ataque. Al vincularse el cliente a la app se vincula también a un servidor de comando y control muy especial.

Cuando se cierra la aplicación no se cierra la conexión al servidor. Y ya estamos en manos del ciberdelincuente. Puede desde hacer fotos y grabar vídeos del usuario al tiempo que captura audio. Es más, puede hasta capturar etiquetas GPS de todas las fotos obtenidas y usarlas para ubicar al propietario en un mapa global.

Lo más sorprendente: opera silenciando el smartphone mientras toma fotos y graba videos, para que no suene el obturador de la cámara. La actividad de grabación de fotos y vídeos podría iniciarse independientemente de si el teléfono está bloqueado o no.

Un cierto retraso en anunciar la vulnerabilidad

Hoy Google y Samsung han anunciado la vulnerabilidad con el fin de dar garantías de que ya está solucionado el problema. Pero fue el 4 de julio cuando Cherckmarx presentó el informe de vulnerabilidad al equipo de seguridad de Android en Google. El 13 de julio, Google estableció inicialmente el grado de gravedad de la vulnerabilidad como moderado, aunque la subió el 23 de julio, informa Forbes. El 1 de agosto el navegador confirmó que las vulnerabilidades afectaron al ecosistema de Android y que había otros proveedores de teléfonos inteligentes afectados. El 18 de agosto, se contactó con múltiples proveedores. El pasado 29 de agosto Samsung confirmó que la vulnerabilidad CVE -2019-2234 afectaba a sus dispositivos.

Un portavoz ha manifestado a Forbes: “Apreciamos que Checkmarx nos haya avisado y que haya trabajado con los socios de Google y Android para coordinar la divulgación. El problema se solucionó en los dispositivos de Google afectados a través de una actualización de Play Store en la aplicación Google Camera en julio”.

Un prestigios experto en amenazas cibernéticas e Inteligencia Artificial consultado por Forbes, Ian Thornton-Trump, ha manifestado que Google necesita evitar las crisis reptuacionales. Y lo debe hacer investigando más sobre la seguridad y confidencialidad de los dispositivos Android.

Y mientras: “cualquier persona que tenga algo que proteger debe actualizarse de inmediato… si no puede actualizar debido a los años que tiene su móvil o la falta de soporte del fabricante, es hora comprar otro”.