Google confirma la vulnerabilidad de la app de cámara de Android: «cientos de millones» de usuarios afectados

Google ha confirmado la grave vulnerabilidad de la cámara de Android revelada por Checkmarx hace unos días y que afecta a las aplicaciones de Google y Samsung.

La vulnerabilidad (CVE-2019-2234) permite saltarse las restricciones de permisos de Android, posibilitando que los atacantes tomen el control mediante acceso remoto de la aplicación de la cámara de Google o Samsung, pudiendo abrir los sensores de imagen sin conocimiento del usuario.

Checkmarx publicó una prueba de concepto donde demostró que era posible establecer una conexión con un servidor de mando y control, que persiste incluso cuando la aplicación se cierra. Además, también pudieron activar las cámaras a voluntad para tomar fotos y grabar vídeos con audio y enviarlos al servidor.

Además de la activación de las cámaras para espiar al usuario, la vulnerabilidad permite añadir otras características maliciosas como la posibilidad de controlar el GPS, teniendo así localizado al usuario en todo momento. Además de una violación de la privacidad, esto podría ser utilizado para conocer rutinas y planificar robos.

La amenaza era importante. «Me quedé boquiabierto cuando leí este informe sobre cuán vulnerable era la aplicación de la cámara«, dice el experto en inteligencia de amenazas cibernéticas y miembro de la facultad global de CompTIAThornton-Trump. «No sonaba como una vulnerabilidad, sonaba más como una amenaza persistente avanzada (APT) con software espía con todas las funciones». De hecho, Thornton-Trump observó que si los investigadores de seguridad hubieran sido hackers de «sombrero negro» podrían haber monetizado fácilmente esta investigación y conseguir cientos de millones de dólares. «Todos estamos más seguros hoy debido al gran trabajo e integridad de los investigadores de Checkmarx», asegura.

Afortunadamente, no se conoce que esta vulnerabilidad haya sido explotada. Checkmarx avisó a Google y Samsung en julio de 2019 y el problema se encuentra resuelto al menos por Google:  «Agradecemos que Checkmarx nos informara y trabajase con los socios de Google y Android para coordinar la divulgación. El problema se abordó en los dispositivos de Google afectados a través de una actualización de Play Store para la aplicación de la cámara de Google en julio de 2019».

También se puso a disposición un parche para todos los socios, agrega Google, si bien no se conoce si Samsung ha actualizado su aplicación. El gran problema puede llegar de aquellos dispositivos que no puedan actualizarse, seguramente muchos millones por la gran fragmentación de Android.