Nueva falla de seguridad en cámara pone a millones de dispositivos Android en riesgo de ciberespionaje

Los gigantes tecnológicos Google y Samsung confirmaron la existencia de vulnerabilidades de seguridad que afectan a millones de sus dispositivos y que permitirían tomar control de la cámara y obtener otros datos como ubicación de la víctima.

La vulnerabilidad afecta a todos los teléfonos de Google, incluidos los que están más allá de la línea de productos Pixel.

Erez Yalon, Director de Investigación de Seguridad en Checkmarx, reveló la vulnerabilidad de seguridad derivada de los problemas de omisión de permisos. El error, denominado CVE-2019-2234, permite a los ciberdelincuentes secuestrar la cámara del teléfono Android y tomar fotos o grabar videos de forma encubierta incluso si un dispositivo está bloqueado.

La vulnerabilidad afecta a todos los teléfonos de Google, incluidos los que están más allá de la línea de productos Pixel.

¿Cómo se descubrió el error?

Checkmarx, después de descubrir la falla en los dispositivos de Google y Samsung, comentó que es posible que cientos de millones de usuarios finales sean susceptibles a la explotación.

Los investigadores comenzaron con una investigación de seguridad sobre las capacidades de la cámara de los teléfonos inteligentes al explorar la aplicación Google Camera en un Google Pixel 2 XL y Pixel.

Según el descubrimiento, los investigadores podrían alterar los dispositivos mediante acciones particulares y, en general, hacer posible que aplicaciones malintencionadas sin permisos específicos controlen la aplicación Google Camera.

Podrían tomar fotos, grabar videos durante el momento en que el dispositivo objetivo estaba bloqueado o cuando la pantalla estaba apagada, o incluso cuando una víctima estaba hablando por una llamada telefónica.

Sin embargo, en los dispositivos de Google, los usuarios deben aceptar solicitudes de permisos, pero en el escenario de ataque de Checkmarx, estos requisitos se pasaron por alto y se omitieron.

«Desafortunadamente, los permisos de almacenamiento son muy amplios y estos permisos dan acceso a toda la tarjeta SD», señalan los investigadores. «Hay una gran cantidad de aplicaciones, con casos de uso legítimos, que solicitan acceso a este almacenamiento, pero no tienen especial interés en fotos o videos. De hecho, es uno de los permisos solicitados más comunes observados».

Además, dado que las imágenes a menudo se graban e incrustan con los metadatos del GPS mientras se almacenan en el dispositivo, es posible que un atacante extraiga estos datos y conozca el paradero del objetivo.

Exploit PoC

Usando el exploit PoC, podrían realizar funciones que incluyen:

·Tomar una foto o grabar un video y subirlo a los C&C
·Silencia el teléfono mientras tomas fotos y grabas videos
·Analiza fotos para etiquetas GPS y ubique el teléfono en un mapa global, y más.
·El experimento demostró que, siempre que existan permisos básicos de almacenamiento, este vector de ataque es posible.

Google fue informado de los hallazgos de los investigadores el 4 de julio de 2019, y para el 1 de agosto, Google registró el CVE y confirmó que también afectó a otros proveedores. Pronto se lanzó una solución que condujo a la divulgación pública.

Comentarios de los gigantes

Google agradeció al equipo de investigación que descubrió la falla y dijo: «el problema se resolvió en los dispositivos de Google afectados a través de una actualización de Play Store a la aplicación de cámara de Google en julio de 2019. También se puso a disposición un parche para todos los socios».

Para una mitigación adecuada y como una mejor práctica general, siempre es importante mantener todas las aplicaciones en su dispositivo actualizadas.