cámara del teléfono

El equipo vio cómo un atacante podía secuestrar la cámara de Android para un spyfest

Crédito: CC0 Public Domain

La amenaza de seguridad de la cámara de Android, revelada y abordada desde entonces, tenía vulnerabilidades de espionaje. Estos fueron arreglados por Google y Samsung con un parche implementado para los dispositivos Pixel y Samsung.Los titulares recientes sobre la falla en los dispositivos Android provocaron un pensamiento incómodo en el último de los numerosos pensamientos incómodos sobre los riesgos de seguridad en el ecosistema de Android.

Imagina que tu aplicación está grabando videos y tomando fotos sin tu permiso.

En resumen, los atacantes podrían secuestrar la cámara de su teléfono. Dan Goodin en Ars Technica: Se trataba de “una aplicación que no necesitaba ningún permiso para hacer que la cámara tomara fotos y grabe video y audio”.

¿Y si tu teléfono estuviera bloqueado? Todavía podrían hacerlo. ¿Y si tu pantalla estuviera apagada? Todavía podrían hacerlo.

El martes, Erez Yalon, Director de Investigación de Seguridad de Checkmarx, habló sobre los errores, la estrategia de ataque de su equipo y las vulnerabilidades que descubrieron (CVE-2019-2234).

Mientras tanto, Asuntos de seguridad el martes presentó el problema a sus lectores, diciendo que los expertos en ciberseguridad de Checkmarx descubrieron múltiples vulnerabilidades en las aplicaciones de cámara de Android proporcionadas por Google y Samsung y que podrían haber sido explotadas por piratas informáticos para espiar a cientos de millones de usuarios.

“Las vulnerabilidades se rastrean colectivamente como CVE-2019-2234, los atacantes podrían explotarlas para realizar varias actividades, como grabar videos, tomar fotos, grabar llamadas de voz, rastrear la ubicación del usuario”.

En cuanto al blog de Checkmarx, Yalon detalló el camino hacia el descubrimiento. “Para comprender mejor cómo las cámaras de los teléfonos inteligentes pueden estar exponiendo a los usuarios a riesgos de privacidad, el equipo de investigación de seguridad de Checkmarx se infiltró en las aplicaciones que controlan estas cámaras para identificar posibles situaciones de abuso. El equipo tiene un Google Pixel 2 XL y un Pixel 3 en -hand, encontrando en última instancia múltiples vulnerabilidades preocupantes derivadas de “problemas de omisión de permisos”.

El equipo probó ambas versiones de Pixel (2 XL / 3) en sus laboratorios. El equipo entregó un video de prueba de concepto (PoC) y un informe técnico. Las notas de video decían: “El equipo de investigación de seguridad de Checkmarx demuestra cómo explotar las vulnerabilidades encontradas dentro de la aplicación de la cámara de Google, lo que obliga al dispositivo a tomar fotos, videos y escuchar a escondidas sin el conocimiento del usuario”.

Yalon dijo que los hallazgos se compartieron con Google, Samsung y otros fabricantes de equipos originales de teléfonos inteligentes basados ​​en Android.

Cronología de ZDNet: Google fue informado de los hallazgos de los investigadores el 4 de julio. Google registró el CVE y confirmó que otros proveedores se vieron afectados. Se lanzó una solución. Google dijo en un comunicado. “El problema se abordó en los dispositivos de Google afectados a través de una actualización de Play Store a la aplicación de cámara de Google en julio de 2019. También se ha puesto un parche a disposición de todos los socios”.

Mientras tanto, un portavoz de Samsung dijo Business Insider la compañía también lanzó parches para abordar el problema.

Alfred Ng en CNET informó que después de que Checkmarx informara a Google y Samsung sobre el problema de seguridad en julio. Las dos compañías le dijeron a Checkmarx que solucionaron el problema en una actualización de Play Store el mismo mes. Sin embargo, Ng agregó: “Si bien el parche está disponible, no está claro si todos los fabricantes de dispositivos afectados han emitido la solución”.

Dan Goodin en Ars Technica tenía una nota de precaución similar / “Hasta hace poco, las debilidades en las aplicaciones de cámara de Android de Google y Samsung hicieron posible que las aplicaciones no autorizadas grabaran video y audio y tomaran imágenes y luego las subieran a un servidor controlado por el atacante 攚 sin ningún permiso para hacerlo entonces. Las aplicaciones de cámara de otros fabricantes aún pueden ser susceptibles “.

Aaron Holmes, Business Insidery Dan Goodin, Ars Technica, les dijo a sus lectores qué hacer para estar seguros, no lo siento: revise su dispositivo Android, simple y llanamente, para ver si es vulnerable. También sugirieron formas de verificar si el dispositivo que necesitaba verificación no era Pixel ni Samsuing, ya que Goodin señaló que “las aplicaciones de cámara de otros fabricantes aún pueden ser susceptibles”.


Similar Posts

Leave a Reply