Gli esperti hanno scoperto diverse nuove vulnerabilità che colpiscono gli smartphone Google e Samsung e che potrebbero consentire ad un utente malintenzionato di assumere il controllo dell’app della fotocamera di un dispositivo per scattare foto in remoto, registrare video e persino spiare le conversazioni e la posizione dell’utente.
I bug sono stati scoperti dal team di ricerca sulla sicurezza di Checkmarx, che analizzando l’app Google Camera su Pixel 2 XL e Pixel 3 ha scoperto più vulnerabilità derivanti da problemi di esclusione delle autorizzazioni. Scavando ulteriormente, ha scoperto che queste stesse vulnerabilità sono presenti anche sull’app della fotocamera Samsung e su altri venditori di smartphone Android.
Il direttore della ricerca sulla sicurezza di Checkmarx, Erez Yalon e il ricercatore senior della sicurezza dell’azienda, Pedro Umbelino, hanno spiegato come sono stati in grado di utilizzare un’app da loro sviluppata per ottenere il controllo dell’app Google Camera in un post sul loro blog scrivendo: “Dopo un’analisi dettagliata dell’app Google Camera, il nostro team ha scoperto che manipolando azioni specifiche, un utente malintenzionato può controllare l’app per scattare foto o registrare video tramite un’altra applicazione appositamente creata e che non dispone di autorizzazioni per farlo. Inoltre, abbiamo scoperto che alcuni scenari di attacco consentono ai malintenzionati di eludere varie autorizzazioni, consentendo loro di accedere a video e foto memorizzati, nonché metadati GPS incorporati nelle foto, per individuare l’utente scattando una foto o un video e analizzando il dati EXIF corretti. Questa stessa tecnica elude anche l’app fotocamera di Samsung“.
Al fine di sfruttare le vulnerabilità riscontrate dal suo team nell’app Google Camera , Checkmarx ha sviluppato un’applicazione per la prova. L’app creata non ha richiesto autorizzazioni speciali oltre all’accesso alla memoria di base, che è un’autorizzazione ordinaria richiesta da molte altre app sul Google Play Store. Tuttavia, oltre alla sua app, Checkmarx ha anche creato un server a cui l’app si connette. Una volta installata e aperta sul dispositivo dell’utente, l’app crea una connessione persistente al server di comando e controllo e attende le istruzioni.
Anche se un utente dovesse chiudere l’app, sarebbe comunque connessa al server e un utente malintenzionato potrebbe ordinarle di scattare una foto, registrare video, registrare audio da chiamate vocali, acquisire tag GPS da foto e accedere ai dati memorizzati sul dispositivo. Tutte le foto e i video acquisiti dall’app verranno quindi caricati sul server. L’app creata da Checkmarx consentirebbe persino a un utente malintenzionato di registrare video e scattare foto anche se lo smartphone fosse bloccato.
Sia Google che Samsung hanno rilasciato aggiornamenti che eliminano le vulnerabilità delle loro app. Per evitare di cadere vittime di un attacco simile, gli utenti devono aggiornare i propri dispositivi all’ultima versione di Android, verificare che siano state applicate le ultime patch di sicurezza disponibili e aggiornare l’app della fotocamera.