Publicidad

Noticias

Un error de Android permitió a apps maliciosas hacer fotos o grabar vídeos en tu móvil, incluso estando bloqueado

Un error de Android permitió a apps maliciosas hacer fotos o grabar vídeos en tu móvil, incluso estando bloqueado
Daniel Caceres

Daniel Caceres

  • Actualizado:

Google y Samsung han admitido la existencia de una serie de brechas de seguridad que hasta este verano permitieron a ciber-atacantes hackear la cámara de tu móvil para sacar fotos o grabar vídeos sin que te enteraras… y sin que tu móvil estuviera desbloqueado.

Ha sido el Director de Investigación de Seguridad de Checkmarx, Erez Yalon, el que ha revelado estos bugs, que en su conjunto reciben el nombre de CVE-2019-2234.

El equipo de Investigación de Seguridad encontró estos bugs al explorar las posibles vulnerabilidades de la app Cámara, instalada en los modelos Google Pixel 2 XL y Pixel 3. Descubrió que era posible, mediante unas acciones concretas, que cualquier app pudiera tomar control de la cámara sin necesidad de exigir permisos específicos.

Lo alarmante del caso es que dicha app podría hacer fotos o grabar un vídeo incluso si el móvil está bloqueado, o si nos encontrábamos en plena llamada.

Checkmarx añade que otras fabricantes de móviles que usan Android como sistema operativo, como Samsung, estuvieron afectados por los mismos problemas. De ser así, el número de usuarios afectados alcanzó perfectamente los cientos de millones antes de que se solucionara

Checkmarx superó el control de seguridad que significa la petición de permisos para acceder a la cámara gracias a la tarjeta SD. La clave del “hackeo” se encontraba en pedir permisos para acceder al almacenamiento de dicha tarjeta.

“Por desgracia, los permisos de almacenamiento son muy amplios, y uno de esto permisos puede darte acceso a la tarjeta SD”, explicó Checkmarx. “Hay muchas apps disponibles que, siendo totalmente legítimas, piden acceso a este almacenamiento, pero que no tienen especial interés en fotos o vídeos”.

El problema es que si una app maliciosa accedía a la tarjeta SD era posible que accediera a fotos y vídeos y, a partir de ahí, forzar la app de la Cámara a realizar nuevos vídeos o fotos.

Para validar este descubrimiento, los investigadores crearon una app falsa de meteorología que pedía permiso para acceder al almacenamiento del móvil. A partir de ahí, lograron conectar la aplicación a un servidor C2 (Control y Comando) y realizar órdenes a la app de la cámara que les permitió: hacer fotos, grabar vídeos, localizar el móvil, silenciarlo mientras se realizaban fotos o se grababan vídeos…

Checkmarx alertó a Google de lo descubierto el pasado 4 de julio de 2019. Google etiquetó el problema de “elevado” y el 1 de agosto confirmó que sus móviles y los de otros fabricantes estaban afectados. Se arregló y de ahí que ahora se haya podido explicar lo ocurrido,

“Agradecemos a Checkmarx el llamar nuestra atención y trabajar con Google y con otros socios Android para coordinar esta comunicación”, explicó un representante de Google.  “El problema se arregló para los dispositivos Google afectados a través de una actualización de Play Store a la aplicación de Google Cámara el pasado julio de 2019. Se envió una actualización al resto de socios”.

Samsung, una de las afectadas, ha confirmado que para finales de agosto sus móviles ya tenían esta actualización.

Daniel Caceres

Daniel Caceres

{ "de-DE": "", "en-US": "I learned how to read thanks to Monkey Island Insult Sword Fightning. I love to write fiction, meditate, and spy on strangers on bars and restaurants. I have an unfinished games backlog. I practice NPL and Impro-theater.", "es-ES": "Aprendí a leer gracias a los duelos de insultos de Monkey Island. Adoro escribir ficción, meditar, espiar a desconocidos en bares o restaurantes, dejar juegos sin acabar... Práctico PNL (cuando quieras te hago unos anclajes reshulones) y me estoy formando como actor de impro-teatro.", "fr-FR": "", "it-IT": "", "ja-JP": "", "nl-NL": "", "pl-PL": "", "pt-BR": "", "social": { "email": "daniel.caceres@softonic.com", "facebook": "", "twitter": "https://twitter.com/lorddevries", "linkedin": "", } }

Lo último de Daniel Caceres

Directrices editoriales