Falla de seguridad en Android permite a los hackers espiarte usando la cámara de tu teléfono

Una brecha de seguridad en las aplicaciones de cámara de Google permitió a los hackers grabar videos y tomar fotos en secreto incluso cuando el teléfono está bloqueado, según un nuevo informe de Checkmarx que descubrió la vulnerabilidad.

El error, denominado CVE-2019-2234, fue descubierto por el equipo de investigación de seguridad de Checkmarx y se dice que está relacionado con problemas de elusión de permisos.

En Android, cada vez que se instalan aplicaciones de terceros, Google hace que las aplicaciones soliciten permiso para acceder a las fotos, videos, micrófono, así como a la aplicación de cámara predeterminada del teléfono. Sin embargo, la falla permitió que aplicaciones no autorizadas grabaran videos, tomaran fotos, grabaran audio y registraran ubicaciones GPS simplemente pidiendo permiso para acceder al almacenamiento de un dispositivo.

Una vez que el usuario otorgó a la aplicación permiso para acceder al almacenamiento, el error activaría la cámara y el micrófono sin el permiso o conocimiento del usuario. En ciertos escenarios de ataque, la falla permitiría a los hackers tomar control del almacenamiento del dispositivo, así como acceder a los metadatos GPS almacenados en las fotos y videos EXIF.

La falla se activó principalmente para apuntar a la aplicación de cámara de Google disponible en dispositivos Pixel y la aplicación de cámara de Samsung que viene preinstalada en dispositivos Galaxy.

Para probar su afirmación, los investigadores utilizaron el Google Pixel 2 XL y Pixel 3 y “encontraron múltiples vulnerabilidades preocupantes derivadas de problemas de elusión de permisos.”

“[O]nuestros investigadores determinaron una forma de habilitar una aplicación maliciosa para forzar a las aplicaciones de cámara a tomar fotos y grabar videos, incluso si el teléfono está bloqueado o la pantalla está apagada. Nuestros investigadores pudieron hacer lo mismo incluso cuando un usuario estaba en medio de una llamada de voz,” escribió el investigador Erez Yalon en una publicación de blog.

“Después de un análisis detallado de la aplicación de cámara de Google, nuestro equipo encontró que manipulando acciones e intenciones específicas, un atacante puede controlar la aplicación para tomar fotos y/o grabar videos a través de una aplicación maliciosa que no tiene permisos para hacerlo.

“Además, encontramos que ciertos escenarios de ataque permiten a actores maliciosos eludir varias políticas de permisos de almacenamiento, dándoles acceso a videos y fotos almacenados, así como a metadatos GPS incrustados en las fotos, para localizar al usuario tomando una foto o video y analizando los datos EXIF adecuados. Esta misma técnica también se aplicó a la aplicación de cámara de Samsung.”

Tanto Google como Samsung fueron informados sobre la falla de Android en julio por Checkmarx, que fue corregida por ellos en el mes a través de una actualización de Play Store.

“Agradecemos a Checkmarx por traer esto a nuestra atención y trabajar con Google y los socios de Android para coordinar la divulgación. El problema fue abordado en los dispositivos Google afectados a través de una actualización de Play Store a la aplicación de cámara de Google en julio de 2019. También se ha puesto un parche a disposición de todos los socios,” dijo Google en un comunicado.

Samsung, que ha lanzado parches para abordar todos los modelos de dispositivos potencialmente afectados, dijo en un comunicado: “Valoramos nuestra asociación con el equipo de Android que nos permitió identificar y abordar este asunto directamente.”

Checkmarx señala que esta falla no se restringe solo a los teléfonos Pixel de Google, lo que significa que otras marcas de teléfonos inteligentes Android podrían seguir siendo potencialmente vulnerables.

Para protegerte de esta vulnerabilidad, se recomienda que ejecutes la última versión del sistema operativo Android y de la aplicación de cámara. También se sugiere que actualices regularmente las aplicaciones instaladas en tu teléfono inteligente.

También lee - Mejor antivirus gratuito para teléfonos inteligentes Android