Vulnerabilidad en aplicaciones de lAndroid Rogue

Nueva falla permite que las aplicaciones de Android Rogue accedan a la cámara sin permiso

Se ha descubierto una alarmante vulnerabilidad de seguridad en varios modelos de teléfonos inteligentes Android fabricados por Google, Samsung y otros que podrían permitir que aplicaciones maliciosas tomen fotos y graben videos en secreto, incluso cuando no tienen permisos específicos para hacerlo.
Ya debe saber que el modelo de seguridad del sistema operativo móvil Android se basa principalmente en los permisos del dispositivo donde cada aplicación necesita definir explícitamente a qué servicios, capacidades del dispositivo o información del usuario desea acceder.
Sin embargo, los investigadores de Checkmarx descubrieron que una vulnerabilidad, rastreada como CVE-2019-2234, en aplicaciones de cámara preinstaladas en millones de dispositivos, los atacantes podrían aprovecharlas para eludir tales restricciones y acceder a la cámara y el micrófono del dispositivo sin ningún permiso para hacerlo.

¿Cómo pueden los atacantes explotar la vulnerabilidad de la aplicación de la cámara?

El escenario de ataque implica una aplicación no autorizada que solo necesita acceso al almacenamiento del dispositivo (es decir, la tarjeta SD), que es uno de los permisos solicitados más comunes y no genera sospechas.

Según los investigadores, simplemente manipulando " acciones e intenciones " específicas , una aplicación maliciosa puede engañar a las aplicaciones vulnerables de la cámara para que realicen acciones en nombre del atacante, que luego puede robar fotos y videos del almacenamiento del dispositivo después de ser tomada.

Dado que las aplicaciones de la cámara del teléfono inteligente ya tienen acceso a los permisos requeridos, la falla podría permitir que los atacantes tomen fotos indirectamente y subrepticiamente, graben videos, escuchen conversaciones y rastreen la ubicación, incluso si el teléfono está bloqueado, la pantalla está apagada o la aplicación está apagada cerrado.

"Después de un análisis detallado de la aplicación Google Camera, nuestro equipo descubrió que al manipular acciones e intenciones específicas, un atacante puede controlar la aplicación para tomar fotos y / o grabar videos a través de una aplicación no autorizada que no tiene permisos para hacerlo", Checkmarx escribió en una publicación de blog publicada hoy.

"Además, descubrimos que ciertos escenarios de ataque permiten a los actores maliciosos eludir varias políticas de permisos de almacenamiento, dándoles acceso a videos y fotos almacenados, así como a metadatos GPS incrustados en las fotos, para localizar al usuario tomando una foto o un video y analizando el datos EXIF ​​adecuados. Esta misma técnica también se aplica a la aplicación de la cámara de Samsung ".

Para demostrar el riesgo de vulnerabilidad para los usuarios de Android, los investigadores crearon una aplicación maliciosa de prueba de concepto disfrazada como una aplicación de clima inocente que solo solicita el permiso de almacenamiento básico.


La aplicación PoC se dividió en dos partes: la aplicación cliente que se ejecuta en un dispositivo Android y un servidor de comando y control controlado (C&C) del atacante con el que la aplicación crea una conexión persistente para que el cierre de la aplicación no finalice la conexión del servidor.

La aplicación maliciosa diseñada por los investigadores pudo realizar una larga lista de tareas maliciosas, que incluyen:

- Hacer la aplicación de la cámara en el teléfono de la víctima para tomar fotos y grabar videos y luego subirla (recuperarla) al servidor de C&C.
- Extraer metadatos GPS integrados en fotos y videos almacenados en el teléfono para localizar al usuario.
- Esperando una llamada de voz y grabando automáticamente audio de ambos lados de la conversación y video del lado de la víctima.
- Operando en modo sigiloso mientras toma fotos y graba videos, por lo que no suena el obturador de la cámara para alertar al usuario.

La aplicación maliciosa implementó la opción de esperar una llamada de voz a través del sensor de proximidad del teléfono que puede detectar cuándo el teléfono está cerca del oído de la víctima.

Los investigadores también publicaron un video sobre la explotación exitosa de las vulnerabilidades en Google Pixel 2 XL y Pixel 3 y confirmaron que las vulnerabilidades eran relevantes para todos los modelos de teléfonos de Google.

Divulgación de vulnerabilidad y disponibilidad de parches

El equipo de investigación de Checkmarx informó de manera responsable sus hallazgos a Google a principios de julio con la aplicación PoC y un video que muestra un escenario de ataque.

Google confirmó y abordó la vulnerabilidad en su línea de dispositivos Pixel con una actualización de cámara que estuvo disponible en julio, y contactó a otros fabricantes de teléfonos inteligentes basados ​​en Android a fines de agosto para informarles sobre el problema, que la compañía calificó como "Alto" en severidad .

Sin embargo, Google no reveló los nombres de los fabricantes y modelos afectados.

"Apreciamos que Checkmarx nos llame la atención y trabaje con los socios de Google y Android para coordinar la divulgación", dijo Google.
"El problema se resolvió en los dispositivos de Google afectados a través de una actualización de Play Store de la aplicación de cámara de Google en julio de 2019. También se puso a disposición un parche para todos los socios".

Checkmarx también informó sobre la vulnerabilidad a Samsung que afectó a su aplicación de cámara. Samsung confirmó y solucionó el problema a fines de agosto, aunque no se reveló cuando la compañía corrigió la falla.

"Desde que Google nos notificó este problema, posteriormente hemos lanzado parches para abordar todos los modelos de dispositivos Samsung que puedan verse afectados. Valoramos nuestra asociación con el equipo de Android que nos permitió identificar y abordar este asunto directamente", dijo Samsung.

Para protegerse de los ataques que rodean esta vulnerabilidad, asegúrese de ejecutar la última versión de la aplicación de la cámara en su teléfono inteligente Android.

Además de esto, también se recomienda ejecutar la última versión del sistema operativo Android y actualizar regularmente las aplicaciones instaladas en su teléfono.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta