Uma vulnerabilidade de segurança alarmante foi descoberta em vários modelos de smartphones Android fabricados pelo Google, Samsung e outros que podem permitir que aplicativos mal-intencionados tirem fotos em segredo e gravem vídeos - mesmo quando eles não têm permissões específicas para isso.
Você já deve saber que o modelo de segurança do sistema operacional móvel Android se baseia principalmente nas permissões do dispositivo, onde cada aplicativo precisa definir explicitamente quais serviços, recursos do dispositivo ou informações do usuário que deseja acessar.
No entanto, os pesquisadores da Checkmarx descobriram que uma vulnerabilidade, rastreada como CVE-2019-2234, em aplicativos de câmera pré-instalados em milhões de dispositivos, os invasores podem aproveitar essas restrições e acessar a câmera e o microfone do dispositivo sem nenhuma permissão para fazê-lo.
Você já deve saber que o modelo de segurança do sistema operacional móvel Android se baseia principalmente nas permissões do dispositivo, onde cada aplicativo precisa definir explicitamente quais serviços, recursos do dispositivo ou informações do usuário que deseja acessar.
No entanto, os pesquisadores da Checkmarx descobriram que uma vulnerabilidade, rastreada como CVE-2019-2234, em aplicativos de câmera pré-instalados em milhões de dispositivos, os invasores podem aproveitar essas restrições e acessar a câmera e o microfone do dispositivo sem nenhuma permissão para fazê-lo.
Como os invasores podem explorar a vulnerabilidade do aplicativo da câmera?
O cenário de ataque envolve um aplicativo não autorizado que precisa apenas acessar o armazenamento do dispositivo (ou seja, cartão SD), que é uma das permissões solicitadas mais comuns e não levanta suspeitas.
Segundo os pesquisadores, apenas manipulando " ações e intenções " específicas , um aplicativo mal-intencionado pode induzir os aplicativos vulneráveis da câmera a realizar ações em nome do atacante, que pode roubar fotos e vídeos do armazenamento do dispositivo após a captura.
Como os aplicativos de câmera para smartphone já têm acesso às permissões necessárias, a falha pode permitir que os invasores tirem fotos de maneira indireta e clandestina, gravem vídeos, escutem conversas e acompanhem a localização - mesmo se o telefone estiver bloqueado, a tela está desligada ou o aplicativo está fechadas.
"Após uma análise detalhada do aplicativo Google Camera, nossa equipe descobriu que, ao manipular ações e intenções específicas, um invasor pode controlar o aplicativo para tirar fotos e / ou gravar vídeos por meio de um aplicativo não autorizado que não tem permissão para fazê-lo", Checkmarx escreveu em um post publicado hoje.
"Além disso, descobrimos que certos cenários de ataque permitem que atores mal-intencionados contornem várias políticas de permissão de armazenamento, dando-lhes acesso a vídeos e fotos armazenados, bem como metadados de GPS incorporados nas fotos, para localizar o usuário tirando uma foto ou vídeo e analisando o dados EXIF adequados. Essa mesma técnica também se aplica ao aplicativo Câmera da Samsung ".
Para demonstrar o risco da vulnerabilidade para usuários do Android, os pesquisadores criaram um aplicativo invasor de prova de conceito, mascarado como um aplicativo climático inocente que apenas solicita a permissão básica de armazenamento.
O aplicativo PoC veio em duas partes: o aplicativo cliente em execução em um dispositivo Android e o servidor de comando e controle (C&C) controlado pelo invasor ao qual o aplicativo cria uma conexão persistente, para que o fechamento do aplicativo não encerre a conexão do servidor.
O aplicativo malicioso desenvolvido pelos pesquisadores conseguiu executar uma longa lista de tarefas maliciosas, incluindo:
- Tornar o aplicativo da câmera no telefone da vítima para tirar fotos e gravar vídeos e depois carregá-lo (recuperá-lo) no servidor C&C.
- Puxar metadados de GPS incorporados em fotos e vídeos armazenados no telefone para localizar o usuário.
- Aguardando uma chamada de voz e gravando automaticamente o áudio dos dois lados da conversa e o vídeo do lado da vítima.
- Operando no modo furtivo enquanto tira fotos e grava vídeos, o obturador da câmera não soa para alertar o usuário.
O aplicativo mal-intencionado implementou a opção de espera por uma chamada de voz através do sensor de proximidade do telefone, que pode detectar quando o telefone é mantido no ouvido da vítima.
Os pesquisadores também publicaram um vídeo de exploração bem-sucedida das vulnerabilidades no Google Pixel 2 XL e Pixel 3 e confirmaram que as vulnerabilidades eram relevantes para todos os modelos de telefone do Google.
Divulgação de vulnerabilidades e disponibilidade de patches
A equipe de pesquisa da Checkmarx relatou com responsabilidade suas descobertas ao Google no início de julho com o aplicativo PoC e um vídeo demonstrando um cenário de ataque.
O Google confirmou e abordou a vulnerabilidade em sua linha de dispositivos Pixel com uma atualização de câmera disponível em julho e entrou em contato com outros OEMs de smartphones baseados em Android no final de agosto para informá-los sobre o problema, que a empresa classificou como "Alta" em gravidade. .
No entanto, o Google não divulgou os nomes dos fabricantes e modelos afetados.
"Agradecemos a Checkmarx por chamar nossa atenção e por trabalhar com parceiros do Google e Android para coordenar a divulgação", afirmou o Google.
"O problema foi solucionado em dispositivos afetados do Google por meio de uma atualização da Play Store para o aplicativo de câmera do Google em julho de 2019. Um patch também foi disponibilizado para todos os parceiros".
A Checkmarx também relatou a vulnerabilidade para a Samsung que afetou o aplicativo Câmera. A Samsung confirmou e corrigiu o problema no final de agosto, embora não tenha sido revelado quando a empresa corrigiu a falha.
"Desde que fomos notificados sobre esse problema pelo Google, posteriormente lançamos patches para resolver todos os modelos de dispositivos Samsung que podem ser afetados. Valorizamos nossa parceria com a equipe do Android que nos permitiu identificar e solucionar esse problema diretamente", afirmou a Samsung.
Para se proteger de ataques que envolvem esta vulnerabilidade, verifique se você está executando a versão mais recente do aplicativo da câmera no seu smartphone Android.
Além disso, também é recomendável executar a versão mais recente do sistema operacional Android e atualizar regularmente os aplicativos instalados no telefone.
