Una vulnerabilità di sicurezza di Android consente agli hacker di spiare utilizzando la fotocamera del telefono

Una falla di sicurezza nelle app fotocamera di Google ha permesso agli hacker di registrare video e scattare foto segretamente anche quando il telefono è bloccato, secondo un nuovo rapporto di Checkmarx che ha scoperto la vulnerabilità.

Il bug, soprannominato CVE-2019-2234, è stato scoperto dal Checkmarx Security Research Team ed è collegato a problemi di bypass dei permessi.

In Android, ogni volta che vengono installate app di terze parti, Google fa sì che le app richiedano il permesso di accedere alle foto, ai video, al microfono e all’app fotocamera predefinita del telefono. Tuttavia, la falla ha permesso a app non autorizzate di registrare video, scattare foto, registrare audio e registrare posizioni GPS semplicemente chiedendo il permesso di accedere allo storage di un dispositivo.

Una volta che l’utente ha dato all’app il permesso di accedere allo storage, il bug attivava la fotocamera e il microfono senza il permesso o la conoscenza dell’utente. In determinati scenari di attacco, la falla consentiva agli hacker di ottenere il controllo sullo storage del dispositivo e di accedere ai metadati GPS memorizzati nelle foto e nei video EXIF.

La falla è stata principalmente attivata per colpire l’app Google Camera disponibile sui dispositivi Pixel e l’app Samsung Camera che viene preinstallata sui dispositivi Galaxy.

Per testare la loro affermazione, i ricercatori hanno utilizzato il Google Pixel 2 XL e il Pixel 3 e “hanno trovato molte vulnerabilità preoccupanti derivanti da problemi di bypass dei permessi.”

“[O] i nostri ricercatori hanno determinato un modo per abilitare un’applicazione malevola a forzare le app fotocamera a scattare foto e registrare video, anche se il telefono è bloccato o lo schermo è spento. I nostri ricercatori potevano fare lo stesso anche quando un utente era nel mezzo di una chiamata vocale,” ha scritto il ricercatore Erez Yalon in un post sul blog.

“Dopo un’analisi dettagliata dell’app Google Camera, il nostro team ha scoperto che manipolando azioni e intenti specifici, un attaccante può controllare l’app per scattare foto e/o registrare video tramite un’applicazione malevola che non ha permessi per farlo.

“Inoltre, abbiamo scoperto che alcuni scenari di attacco consentono ad attori malevoli di eludere varie politiche di permesso di storage, dando loro accesso a video e foto memorizzati, così come ai metadati GPS incorporati nelle foto, per localizzare l’utente scattando una foto o un video e analizzando i dati EXIF appropriati. Questa stessa tecnica si applica anche all’app fotocamera di Samsung.”

Sia Google che Samsung sono stati informati della falla di Android a luglio da Checkmarx, che è stata corretta da loro nel mese tramite un aggiornamento del Play Store.

“Apprezziamo che Checkmarx ci abbia portato a conoscenza di questo e abbia lavorato con Google e i partner Android per coordinare la divulgazione. Il problema è stato affrontato sui dispositivi Google interessati tramite un aggiornamento del Play Store all’applicazione Google Camera a luglio 2019. È stata inoltre resa disponibile una patch a tutti i partner,” ha dichiarato Google in una nota.

Samsung, che ha rilasciato patch per affrontare tutti i modelli di dispositivo potenzialmente interessati, ha dichiarato in una nota: “Valutiamo la nostra partnership con il team Android che ci ha permesso di identificare e affrontare direttamente questa questione.”

Checkmarx osserva che questa falla non è limitata solo ai telefoni Pixel di Google, il che significa che altri marchi di smartphone Android potrebbero ancora essere potenzialmente vulnerabili.

Per proteggerti da questa vulnerabilità, si raccomanda di eseguire l’ultima versione del sistema operativo Android e dell’app fotocamera. Si suggerisce inoltre di aggiornare regolarmente le app installate sullo smartphone.

Leggi anche - Miglior antivirus gratuito per smartphone Android