Une faille de sécurité Android permet aux hackers de vous espionner en utilisant la caméra de votre téléphone

Une faille de sécurité dans les applications de caméra de Google a permis aux hackers d’enregistrer des vidéos et de prendre des photos secrètement même lorsque le téléphone est verrouillé, selon un nouveau rapport de Checkmarx qui a découvert la vulnérabilité.

Le bug, surnommé CVE-2019-2234, a été découvert par l’équipe de recherche en sécurité de Checkmarx et serait lié à des problèmes de contournement de permissions.

Dans Android, chaque fois que des applications tierces sont installées, Google fait en sorte que les applications demandent la permission d’accéder aux photos, vidéos, microphone ainsi qu’à l’application de caméra par défaut du téléphone. Cependant, la faille a permis à des applications non autorisées d’enregistrer des vidéos, de prendre des photos, d’enregistrer de l’audio et de consigner des emplacements GPS en demandant simplement la permission d’accéder au stockage d’un appareil.

Une fois que l’utilisateur a donné à l’application la permission d’accéder au stockage, le bug activait la caméra et le microphone sans la permission ou la connaissance de l’utilisateur. Dans certains scénarios d’attaque, la faille permettait aux hackers de prendre le contrôle du stockage de l’appareil ainsi que d’accéder aux métadonnées GPS stockées dans les EXIF des photos et vidéos.

La faille a été principalement déclenchée pour cibler l’application Google Camera disponible sur les appareils Pixel et l’application Samsung Camera qui est préinstallée sur les appareils Galaxy.

Pour tester leur affirmation, les chercheurs ont utilisé le Google Pixel 2 XL et le Pixel 3 et ont « trouvé plusieurs vulnérabilités préoccupantes découlant de problèmes de contournement de permissions. »

« [O] nos chercheurs ont déterminé un moyen de permettre à une application malveillante de forcer les applications de caméra à prendre des photos et à enregistrer des vidéos, même si le téléphone est verrouillé ou si l’écran est éteint. Nos chercheurs pouvaient faire de même même lorsqu’un utilisateur était en plein appel vocal, » a écrit le chercheur Erez Yalon dans un article de blog.

« Après une analyse détaillée de l’application Google Camera, notre équipe a découvert qu’en manipulant des actions et des intentions spécifiques, un attaquant peut contrôler l’application pour prendre des photos et/ou enregistrer des vidéos via une application malveillante qui n’a pas les permissions nécessaires.

« De plus, nous avons constaté que certains scénarios d’attaque permettent aux acteurs malveillants de contourner diverses politiques de permission de stockage, leur donnant accès aux vidéos et photos stockées, ainsi qu’aux métadonnées GPS intégrées dans les photos, pour localiser l’utilisateur en prenant une photo ou une vidéo et en analysant les données EXIF appropriées. Cette même technique s’appliquait également à l’application Camera de Samsung. »

Google et Samsung ont été informés de la faille Android en juillet par Checkmarx, qui a été corrigée par eux dans le mois via une mise à jour du Play Store.

« Nous apprécions que Checkmarx ait attiré notre attention sur ce problème et ait travaillé avec Google et les partenaires Android pour coordonner la divulgation. Le problème a été résolu sur les appareils Google concernés via une mise à jour du Play Store de l’application Google Camera en juillet 2019. Un correctif a également été mis à la disposition de tous les partenaires, » a déclaré Google dans un communiqué.

Samsung, qui a publié des correctifs pour traiter tous les modèles d’appareils potentiellement affectés, a déclaré dans un communiqué : « Nous valorisons notre partenariat avec l’équipe Android qui nous a permis d’identifier et de traiter cette question directement. »

Checkmarx note que cette faille n’est pas seulement limitée aux téléphones Pixel de Google, ce qui signifie que d’autres marques de smartphones Android pourraient encore être potentiellement vulnérables.

Pour vous protéger de cette vulnérabilité, il est recommandé d’exécuter la dernière version du système d’exploitation Android et de l’application de caméra. Il est également suggéré de mettre régulièrement à jour les applications installées sur votre smartphone.

Lire aussi - Meilleur antivirus gratuit pour smartphones Android