Las aplicaciones de cámara de los teléfonos de Google y Samsung han estado expuestas a graves fallas de seguridad que podrían ser utilizadas por piratas informáticos para espiar a cientos de millones de usuarios. A través de la vulnerabilidad, los piratas informáticos pueden usar el teléfono de la víctima para tomar fotografías, grabar videos, grabar llamadas de voz e incluso rastrear la ubicación del usuario. ¿El teléfono sigue siendo seguro? Venga al círculo de amigos de Xinzhiyuan AI para discutir con celebridades de AI. Es posible que lo estén observando todo el tiempo sin saber quién lo está observando.
Las cámaras han pasado de ser un complemento de un teléfono a una forma de documentar la vida. Frente al bosque de ginkgo dorado, las primeras nevadas en las ramas y la olla caliente reunida con amigos, todos sacamos nuestros teléfonos móviles, encendemos la cámara para tomar fotos o grabar vlogs, que se han convertido en los canales para mirar, registrar y expresar el mundo.
Pero si la cámara de tu teléfono estuviera encendida para monitorear tu vida sin que te des cuenta, este podría ser el Truman World moderno.
Ahora bien, esto si, hay una pequeña posibilidad de que se haga realidad. Según los informes de los medios, el equipo de investigación de seguridad de Checkmarx descubrió una vulnerabilidad en los teléfonos Android. Los atacantes pueden eludir los permisos de Android accediendo al espacio de almacenamiento del teléfono y pueden controlar de forma remota el teléfono para tomar fotos y grabar de forma remota sin el consentimiento del usuario. Video, monitorear conversaciones.
¿Dice el equipo de investigación que hay lagunas cuando hay lagunas? ¿Es alarmista? Primero, echemos un vistazo a lo que hay detrás del equipo de investigación de seguridad de Checkmarx.
Checkmarx es una empresa israelí de software de alta tecnología y productora de Checkmarx CxSuite, el software de escaneo de seguridad de código fuente más famoso del mundo. Checkmarx fue nominado como líder en el Cuadrante Mágico de Gartner de 2019 para pruebas de seguridad de aplicaciones, ganó el premio Infosec 2019 de Cyber Defense Magazine en la categoría de líder del mercado en seguridad de aplicaciones y ganó el premio a la solución de seguridad de aplicaciones del año.
La investigación de vulnerabilidades de software de vanguardia de su equipo de investigación de seguridad en Alexa, Tinder, LeapFrog LeapPad y otros productos de Amazon ha sido reportada por medios conocidos como "Good Morning America", "Consumer Reports" y "Fortune", atrayendo la atención de la industria.
Esta vez, el equipo de investigación de seguridad de Checkmarx descubrió varias vulnerabilidades en la aplicación Google Camera (Google Camera) en los teléfonos Google Pixel 2XL y Pixel 3 debido a problemas que permiten a los atacantes eludir los permisos de los usuarios. Además, la cámara de Samsung también tiene esta vulnerabilidad.
Anteriormente, el equipo de investigación también reveló que Alexa y Tinder de Amazon tienen este problema. Solo considerando el alcance de los teléfonos de Google y Samsung, estas vulnerabilidades podrían afectar a cientos de millones de usuarios o incluso amenazarlos.
La vulnerabilidad, denominada CVE-2019-2234, en sí misma permite que una aplicación maliciosa obtenga de forma remota información de la cámara, el micrófono y los datos de ubicación del GPS. Las implicaciones de poder hacer esto son tan graves que el Proyecto de código abierto de Android (AOSP) tiene un conjunto dedicado de permisos que cualquier aplicación debe solicitar y obtener permiso del usuario antes de poder habilitar tales operaciones.
Lo que hicieron los investigadores de Checkmarx fue crear un escenario de ataque que abusaba de la propia aplicación Google Camera para eludir estos permisos. Para ello, crearon una aplicación maliciosa que explota uno de los permisos más solicitados: el acceso al almacenamiento.
El permiso solicitado por la aplicación maliciosa es solo 'acceso al almacenamiento'
"Esta aplicación maliciosa que se ejecuta en un teléfono inteligente Android puede leer la tarjeta SD", dijo Yalon. "No solo puede acceder a fotos y videos anteriores, sino también explotar esta nueva lata". tome nuevas fotos y videos a voluntad".
La aplicación maliciosa inicia silenciosamente la grabación de video del teléfono
La aplicación maliciosa graba llamadas de forma remota
¿Cómo podrían los atacantes aprovechar las vulnerabilidades en la aplicación Google Camera?
Checkmarx creó un exploit de prueba de concepto (PoC) mediante el desarrollo de una aplicación maliciosa. Esta es una aplicación meteorológica que siempre ha sido popular en Google Play Store. Además de los permisos básicos de acceso al almacenamiento, esta aplicación no requiere ningún permiso especial. Es poco probable que la aplicación alarme al usuario, ya que solo se necesita solicitar un permiso tan simple y ordinario. Después de todo, las personas están acostumbradas a cuestionar solicitudes de permiso amplias e innecesarias, no una sola solicitud de permiso común.
Sin embargo, esta aplicación está lejos de ser inofensiva. Se divide en dos partes, una aplicación cliente que se ejecuta en el smartphone y un servidor de comando y control que se conecta a este para ejecutar los comandos del atacante.
Una vez que la aplicación está instalada e iniciada, crea una conexión persistente con el servidor de comando y control y luego espera instrucciones. Cerrar la aplicación no cierra la conexión con el servidor.
¿Qué comandos puede enviar un atacante y qué acciones pueden resultar? Esta larga lista podría hacerte estremecer:
La información fue dada a conocer de forma conjunta por Google y Samsung en los últimos días para asegurar que ambas empresas han lanzado parches para la vulnerabilidad. Sin embargo, la divulgación de la vulnerabilidad comenzó el 4 de julio, cuando Checkmarx envió un informe de vulnerabilidad al equipo de seguridad de Android de Google, que comenzó la divulgación tras bambalinas.
El 13 de julio, Google fijó inicialmente la gravedad de la vulnerabilidad en media, pero después de más comentarios de Checkmarx, la gravedad se redujo a "alta" el 23 de julio.
El 1 de agosto, Google confirmó que las vulnerabilidades afectaron al ecosistema Android más amplio, con otros fabricantes de teléfonos inteligentes también afectados, y emitió CVE-2019-2234.
El 18 de agosto, Google se puso en contacto con varios proveedores; el 29 de agosto, Samsung confirmó que la vulnerabilidad afectaba a sus dispositivos.
Google responde con parche provisto, experto en seguridad: 'Es simplemente asombroso'
Google responde: Se han proporcionado parches a todos los socios
Después de ser contactado por los medios, un portavoz dijo: "Estamos agradecidos con Checkmarx por alertarnos sobre esta vulnerabilidad y trabajar con socios en Google y Android para coordinar la divulgación. A través del lanzamiento de Google Play Store en julio de 2019. Una actualización de la cámara La aplicación ha resuelto el problema en los teléfonos Google afectados. También hemos puesto el parche a disposición de todos los socios".
Sin embargo, la divulgación de la vulnerabilidad se retrasó hasta que tanto Google como Samsung lanzaron parches, por lo que si tiene la última versión de la aplicación de la cámara, asegúrese de actualizar a la última versión para evitar la amenaza de un ataque.
Además, actualice a la última versión del sistema operativo Android, asegúrese de que su teléfono tenga los últimos parches de seguridad disponibles y recomiende usar la última versión de la aplicación de la cámara para su dispositivo para reducir el riesgo.
Lo que los expertos en seguridad tienen que decir sobre la gravedad de la vulnerabilidad y cómo afectará la seguridad de los teléfonos inteligentes en general.
Thornton-Trump dijo: "Me quedé boquiabierto cuando leí este informe sobre cuán vulnerable es la aplicación de la cámara. No parece un error, sino más bien una versión de alto nivel con spyware con todas las funciones. Amenaza persistente (APT)."
De hecho, Thornton-Trump notó que si los investigadores de seguridad fueran sombreros negros, podrían monetizar fácilmente esta investigación por cientos de miles de dólares. "Gracias al gran trabajo y la integridad de los investigadores de Checkmarx, todos los usuarios de Android ahora están más seguros", dijo.
Thornton-Trump se mostró complacido de que Google lanzara un parche pronto, pero dijo que debido a la gravedad y amplitud de la vulnerabilidad, "también es hora de que Google permita que algunas de las capacidades del 'Proyecto Cero' penetren profundamente en el propio sistema operativo Android".."
"No hay duda de que el alto volumen de vulnerabilidades de Android reveladas está dañando la marca Android. El reciente problema de la 'pantalla blanca de la muerte' tampoco es bueno para la reputación de la empresa. Google debe hacer más para garantizar que los usuarios confíen en la seguridad y la confidencialidad. de dispositivos Android Mientras tanto, cualquier persona que necesite protección debe actualizar sus sistemas de inmediato ", dijo." Si no puede actualizar su dispositivo porque está obsoleto o no tiene soporte del fabricante, es hora de obtener un nuevo dispositivo ".
