Seguridad

Bug en la app de cámara de Android permite a otras apps usar la cámara sin los permisos necesarios

Ha sido descubierta una nueva vulnerabilidad en las aplicaciones de cámara de Google y Samsung que permite realizar fotos y grabar vídeo a otras aplicaciones sin que éstas soliciten los permisos necesarios para ello.

Investigadores de la empresa ‘Checkmarx’ han hecho publica una vulnerabilidad descubierta en verano de este año. El fallo afecta a las aplicaciones de cámara de Google y Samsung. Dicha vulnerabilidad ha sido identificada como CVE-2019-2234.

La aplicación de cámara de Google se encuentra instalada por defecto en los dispositivos Pixel de Google, mientras que la aplicación de cámara de Samsung se encuentra instalada en los dispositivos Samsung.

Por seguridad, una aplicación para Android debe solicitar permiso para acceder a la cámara, y por tanto, para tomar fotos y grabar vídeos. Los permisos que debe solicitar son: android.permission.CAMERA y android.permission.RECORD_AUDIO

Además, para el acceso a datos sobre la localización espacial del dispositivo es necesario que la aplicación solicite permisos para ello: android.permission.ACCESS_FINE_LOCATION y android.permission.ACCESS_COARSE_LOCATION

Aprovechando la vulnerabilidad descubierta, una aplicación maliciosa podría tomar fotos y grabar vídeos sin necesidad de solicitar dichos permisos. Además, como las fotografías incluyen metadatos del GPS del dispositivo, la aplicación podría también obtener información sobre la localización del dispositivo sin necesidad de solicitar los permisos para ello.

Como podemos observar en el vídeo publicado por Checkmarx, una aplicación maliciosa que aproveche esta vulnerabilidad puede obtener información confidencial y enviarla al atacante.

La vulnerabilidad reside en los ‘Intents’ que expone las aplicaciones de cámara afectadas. Dichos ‘Intents’ pueden ser ejecutados por otras aplicaciones sin necesidad de permisos especiales.

A través de los ‘intents’, la aplicación maliciosa puede ejecutar la app de cámara y forzarla a grabar vídeos o tomar fotos mientras el dispositivo está bloqueado o incluso mientras el usuario se encuentra en mitad de una llamada, permitiendo grabar el audio de la llamada.

Google corrigió el problema en Julio de 2019, poco después de que se les reportase. Se recomienda a todos los usuarios de la app que actualicen a la última versión para asegurarse de que no les afecta este problema.

Más información:

Post Checkmarx
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.