Se ha descubierto una vulnerabilidad de seguridad en varios modelos de teléfonos inteligentes Android fabricados por Google, Samsung, entre otros que podrían permitir a aplicaciones maliciosas tomar fotos y grabar vídeos sin consentimiento previo o sin los permisos necesarios para hacerlo.
El actual modelo de seguridad del sistema operativo móvil Android se basa principalmente en los permisos del dispositivo donde cada aplicación necesita definir explícitamente a qué servicios, o hardware del dispositivo o información del usuario se desea acceder.
Sin embargo, una nueva vulnerabilidad, rastreada como CVE-2019-2234, presente en las aplicaciones de cámara preinstaladas en millones de dispositivos, los atacantes podrían aprovecharlas para evadir estas restricciones y acceder a la cámara y el micrófono del dispositivo sin ningún permiso previo.
El escenario de ataque implica a una aplicación no autorizada que solo necesita acceso al almacenamiento del dispositivo (es decir, la tarjeta SD), que es uno de los permisos solicitados más comunes por los desarrolladores.
Simplemente manipulando acciones, una aplicación maliciosa puede engañar a las aplicaciones de cámara afectadas para que realicen acciones en nombre del atacante, para luego robar fotos y videos del almacenamiento del dispositivo.
Debido a que las apps de cámara oficiales ya tienen acceso a los permisos requeridos, la falla podría permitir a los atacantes tomar fotos, grabar vídeos, espiar conversaciones y rastrear la ubicación, incluso si el teléfono está bloqueado, la pantalla está apagada o la aplicación está cerrada.
Los investigadores a cargo crearon una aplicación maliciosa diseñada para fines de prueba y concepto (PoC), concluyendo lo siguiente:
- La aplicación de cámara de la víctima permite la captura de fotos, grabación de videos, para luego subirla (y recuperarla) al servidor de comando y control (C2).
- Extraer metadatos del GPS integrado en fotos y videos almacenados en el teléfono para localizar al usuario.
- Esperar una llamada y grabar automáticamente el audio de ambos lados de la conversación, y captura de video en lado de la víctima.
- Operar de forma sigilosa al tomar fotos o grabar videos, sin alertar o dar indicio alguno al usuario víctima.
- Esperar una llamada a través del sensor de proximidad del teléfono que puede detectar cuándo el teléfono está cerca del oído de la víctima.
Google confirmó y abordó la vulnerabilidad en su línea de dispositivos Pixel con una actualización de la cámara que estuvo disponible en julio, y tcontactó a otros fabricantes de teléfonos inteligentes basados en Android a fines de agosto para informarles sobre el problema, que la compañía calificó como "Alta" en severidad. Sin embargo, la compañía no reveló los nombres de los fabricantes y modelos afectados.
Para protegerse de los ataques que rodean esta vulnerabilidad, asegúrese de ejecutar la última versión de la app de cámara en su teléfono inteligente Android. Además de esto, también se recomienda ejecutar la última versión del sistema operativo Android y actualizar regularmente las aplicaciones instaladas en su teléfono.
REFERENCIA
COMENTARIOS