Menace pour la sécurité de la caméra Android, divulgués et traités depuis, avait des vulnérabilités d'espionnage. Ceux-ci ont été corrigés par Google et Samsung avec un correctif déployé pour les appareils Pixel et Samsung.

Imaginez que votre application enregistre une vidéo et prend des photos sans votre permission.

En bref, les attaquants pourraient détourner l'appareil photo de votre téléphone. Dan Goodin dans Ars Technica :Il s'agissait de "une application n'avait besoin d'aucune autorisation pour que l'appareil photo prenne des photos et enregistre des vidéos et du son".

Et si votre téléphone était verrouillé ? Ils pouvaient encore le faire. Et si votre écran était éteint ? Ils pouvaient encore le faire.

Mardi, Erez Yalon, Directeur de la recherche en sécurité chez Checkmarx, ouvert sur les bugs, la stratégie d'attaque de leur équipe, et les vulnérabilités qu'ils ont découvertes (CVE-2019-2234).

Pendant ce temps, Affaires de sécurité mardi a présenté le problème à ses lecteurs, affirmant que les experts en cybersécurité de Checkmarx ont découvert plusieurs vulnérabilités dans les applications d'appareil photo Android fournies par Google et Samsung et que celles-ci auraient pu être exploitées par des pirates pour espionner des centaines de millions d'utilisateurs.

« Les vulnérabilités sont suivies collectivement sous le nom CVE-2019-2234, les attaquants pourraient les exploiter pour mener plusieurs activités, y compris l'enregistrement de vidéos, prendre des photos, enregistrer les appels vocaux, suivi de l'emplacement de l'utilisateur."

Quant au blog Checkmarx, Yalon a détaillé le chemin de la découverte. "Afin de mieux comprendre comment les caméras des smartphones peuvent exposer les utilisateurs à des risques de confidentialité, l'équipe de recherche en sécurité de Checkmarx a piraté les applications elles-mêmes qui contrôlent ces caméras pour identifier les scénarios d'abus potentiels. L'équipe dispose d'un Google Pixel 2 XL et d'un Pixel 3, finalement trouver de multiples vulnérabilités concernant des "problèmes de contournement d'autorisation".

L'équipe a testé les deux versions de Pixel (2 XL/3) dans leurs laboratoires. L'équipe a livré une vidéo de preuve de concept (PoC) et un rapport technique. Les notes vidéo ont déclaré :"L'équipe de recherche en sécurité Checkmarx montre comment exploiter les vulnérabilités trouvées dans l'application de caméra Google, forcer l'appareil à prendre des photos, vidéos, et espionner à l'insu de l'utilisateur."

Yalon a déclaré que les résultats ont été partagés avec Google, Samsung et d'autres fabricants de smartphones basés sur Android.

Chronologie de ZDNet :Google a été informé des conclusions des chercheurs le 4 juillet. Google a enregistré le CVE et a confirmé que d'autres fournisseurs étaient impactés. Un correctif a été publié. Google a déclaré dans un communiqué. "Le problème a été résolu sur les appareils Google concernés via une mise à jour Play Store de l'application Google Camera en juillet 2019. Un correctif a également été mis à la disposition de tous les partenaires."

Un porte-parole de Samsung a quant à lui déclaré Interne du milieu des affaires la société a également publié des correctifs pour résoudre le problème.

Alfred Ng dans CNET a rapporté qu'après que Checkmarx ait informé Google et Samsung du problème de sécurité en juillet. Les deux sociétés ont déclaré à Checkmarx avoir résolu le problème dans une mise à jour du Play Store le même mois. Cependant, Ng ajouté, "Pendant que le patch est disponible, on ne sait pas si tous les fabricants d'appareils concernés ont publié le correctif."

Dan Goodin dans Ars Technica avait une note similaire de prudence / "Jusqu'à récemment, Les faiblesses des applications de caméra Android de Google et Samsung ont permis à des applications malveillantes d'enregistrer de la vidéo et de l'audio et de prendre des images, puis de les télécharger sur un serveur contrôlé par un attaquant, sans aucune autorisation pour le faire. Les applications d'appareil photo d'autres fabricants peuvent toujours être sensibles."

Aaron Holmes , Interne du milieu des affaires , et Dan Goodin, Ars Technica, dit à leurs lecteurs quoi faire pour être en sécurité pas désolé :vérifiez votre appareil Android, clair et simple, pour voir s'il est vulnérable. Ils ont également suggéré des moyens de vérifier, si l'appareil à vérifier n'était ni le Pixel ni le Samsuing, comme Goodin a noté que "les applications d'appareils photo d'autres fabricants peuvent toujours être sensibles".

© 2019 Réseau Science X