El equipo de investigación sobre seguridad de Checkmarx ya está acostumbrado a detectar vulnerabilidades alarmantes; ya lo hizo con Alexa, de Amazon, y Tinder. Pero ahora hizo su descubrimiento más importante: vulnerabilidades en los smartphones de Google y Samsung que podrían afectar a cientos de millones de usuarios de Android.
Y qué descubrieroñ Una forma de controlar las aplicaciones que usan la cámara de los smartphones para que saquen fotos, graben videos, graben tus conversaciones cuando te llevás el teléfono a la oreja, identifiquen tu ubicación y más, todo en silencio, en segundo plano, sin que te des cuenta.
Las vulnerabilidades
Cuando el equipo de Chechmarx se puso a investigar la aplicación Google Camara en los smartphones Pixel 2XL y Pixel 3 que tenía a mano, detectó varias vulnerabilidades, todas derivadas de problemas que permitían hacer caso omiso de los permisos que da el usuario. Las vulnerabilidades (CVE-2019-2234) permitían que una aplicación maliciosa use la cámara y el micrófono y tome datos de la ubicación por GPS, todo de manera remota. Las implicaciones de esto son tan graves que el Android Open Source Project (AOSP) creó un conjunto de permisos que toda aplicación debe solicitarle al usuario y recibir aprobación antes de poder realizar esas acciones.
¿Qué puede hacer un hacker explotando esas vulnerabilidades? La lista es tan larga como preocupante.
Sacar una foto con la cámara del smartphone y subirla al servidor de comandos.
Grabar un video con la cámara del smartphone y subirlo al servidor de comandos
Esperar a que comience una llamada de voz monitoreando el sensor de proximidad del smartphone para determinar cuándo se lo lleva a la oreja el usuario y grabar el audio de ambos extremos de la conversación.
Durante esas llamadas, el hacker también podría grabar videos del usuario mientras graba el audio.
Tomar las etiquetas de GPS de todas las fotos que se sacaron y usarlas para localizar al dueño en un mapa global.
Acceder a la información almacenada sobre fotos y videos (y las imágenes tomadas durante un ataque) y copiarla.
Operar sin ser detectado silenciando el smartphone al sacar fotos y grabar videos, para que ningún sonido de la cámara alerte al usuario.
Sacar fotos y grabar videos aunque el smartphone no esté desbloqueado.
¿Qué dijo Google acerca de las vulnerabilidades de la aplicación para la cámará
Cuando contacté a Google, un portavoz me dijo: “Apreciamos que Checkmarx nos haya señalado esto y estamos trabajando con nuestros socios de Google y Android para coordinar la divulgación del problema. Se solucionó el problema en los dispositivos afectados de Google mediante una actualización de la aplicación Google Camera publicada en Play Store en julio de 2019. También se puso a disposición de todos los socios un parche”.
También contacté a Samsung para pedirles una declaración respecto a esta revelación. Al cierre de la publicación de esta nota, no habían respondido. Sin embargo, la divulgación de las vulnerabilidades se pospuso hasta que Google y Samsung publicaron soluciones, así que si tenés la última versión de la aplicación para la cámara, deberías estar protegido de este tipo de ataques.
Por Davey Winder