Google confirma la amenaza de seguridad de la cámara Android: ‘Cientos de millones’ de usuarios afectados

El equipo de investigación de seguridad de Checkmarx se ha acostumbrado a descubrir vulnerabilidades alarmantes, con divulgaciones pasadas que cubren Alexa y Tinder de Amazon. Sin embargo, el descubrimiento de vulnerabilidades que afectan a los teléfonos inteligentes de Google y Samsung, con el potencial de impactar a cientos de millones de usuarios de Android, es el más grande hasta la fecha. ¿Qué descubrieron los investigadores? Oh, solo una forma para que un atacante tome el control de las aplicaciones de la cámara del teléfono inteligente y tome fotos, grabe videos, espíe sus conversaciones de forma remota al grabarlas mientras acerca el teléfono a su oído, identifica su ubicación y más. Todo esto se realizó en silencio, en segundo plano, sin que el usuario fuera más sabio.

Vulnerabilidades de la aplicación de cámara de Google y Samsung

Cuando el equipo de investigación de seguridad de Checkmarx comenzó a investigar la aplicación Google Camera, en los teléfonos inteligentes Pixel 2XL y Pixel 3 que tenían a mano, encontraron varias vulnerabilidades . Todo esto se inició por problemas que permitieron a un atacante eludir los permisos de los usuarios. “Nuestro equipo encontró una manera de manipular acciones e intenciones específicas”, dijo Erez Yalon, director de investigación de seguridad de Checkmarx, “haciendo posible que cualquier aplicación, sin permisos específicos, controle la aplicación Google Camera. Esta misma técnica también se aplicó a la aplicación de la cámara de Samsung ”. Las implicaciones de estas vulnerabilidades, dada la huella de los teléfonos inteligentes de Google y Samsung, representaron una amenaza significativa para cientos de millones de usuarios.

Las vulnerabilidades en sí mismas (CVE-2019-2234) permitieron que una aplicación maliciosa obtuviera datos de la cámara, el micrófono y los datos de ubicación del GPS, todo de forma remota. Las implicaciones de poder hacer esto son lo suficientemente graves como para que el Proyecto de Código Abierto de Android (AOSP) tenga específicamente un conjunto de permisos que cualquier aplicación debe solicitar al usuario y ser aprobada antes de habilitar tales acciones. Lo que hicieron los investigadores de Checkmarx fue crear un escenario de ataque que abusó de la aplicación Google Camera para eludir estos permisos. Lo hicieron creando una aplicación maliciosa que explotaba uno de los permisos más solicitados: el acceso al almacenamiento. “Una aplicación maliciosa que se ejecuta en un teléfono inteligente Android que puede leer la tarjeta SD”, dijo Yalon, “no solo tiene acceso a fotos y videos anteriores, sino que con esta nueva metodología de ataque, se puede dirigir a tomar nuevas fotos y videos a voluntad. ”

¿Cómo podría un atacante explotar estas vulnerabilidades de la aplicación Google Camera?

Checkmarx creó un exploit de prueba de concepto (PoC) al desarrollar una aplicación maliciosa, una aplicación meteorológica del tipo que es perennemente popular en Google Play Store. Esta aplicación no requería ningún permiso especial aparte del acceso básico al almacenamiento. Simplemente solicitando este permiso único y común, es poco probable que la aplicación active las alarmas del usuario. Después de todo, estamos condicionados a cuestionar solicitudes de permisos innecesarias y extensas en lugar de una sola y común. Esta aplicación, sin embargo, estaba lejos de ser inofensiva. Llegó en dos partes, la aplicación del cliente ejecutándose en el teléfono inteligente y un servidor de comando y control al que se conecta para hacer las órdenes del atacante. Una vez que la aplicación se instala y se inicia, crearía una conexión persistente a ese servidor de comando y control y luego se sentaría y esperaría las instrucciones. Al cerrar la aplicación no se cerró la conexión del servidor. ¿Qué instrucciones podría enviar el atacante, dando como resultado qué acciones? Espero que estés sentado ya que es una lista larga y preocupante.

  • Tome una foto con la cámara del teléfono inteligente y cárguela en el servidor de comandos.
  • Grabe video usando la cámara del teléfono inteligente y cárguelo en el servidor de comandos.
  • Espere a que comience una llamada de voz, monitoreando el sensor de proximidad del teléfono inteligente para determinar cuándo el teléfono está cerca del oído y grabar el audio de ambos lados de la conversación.
  • Durante esas llamadas monitoreadas, el atacante también podía grabar video del usuario al mismo tiempo que capturaba audio.
  • Capture etiquetas GPS de todas las fotos tomadas y úselas para ubicar al propietario en un mapa global.
  • Acceda y copie la información almacenada de fotos y videos, así como las imágenes capturadas durante un ataque.
  • Opere sigilosamente silenciando el teléfono inteligente mientras toma fotos y graba videos, para que no suene el obturador de la cámara para alertar al usuario.
  • La actividad de grabación de fotos y videos podría iniciarse independientemente de si el teléfono inteligente estaba desbloqueado.

La línea de tiempo de divulgación de vulnerabilidad de la aplicación Google Camera

La publicación de esta divulgación hoy fue coordinada con Google y Samsung para garantizar que ambos hubieran publicado soluciones para las vulnerabilidades. Sin embargo, detrás de escena, las revelaciones comenzaron el 4 de julio, cuando Checkmarx presentó un informe de vulnerabilidad al equipo de seguridad de Android en Google. El 13 de julio, Google estableció inicialmente la gravedad de la vulnerabilidad como moderada, pero luego de recibir más comentarios de Checkmarx, esto aumentó al 23 de julio. El 1 de agosto, Google confirmó que las vulnerabilidades afectaron el ecosistema de Android más amplio con otros proveedores de teléfonos inteligentes afectados, y CVE -2019-2234 fue emitido. El 18 de agosto, se contactó con múltiples proveedores y el 29 de agosto Samsung confirmó que la vulnerabilidad afectaba a sus dispositivos.

  • Jul 4, 2019 – Submitted a vulnerability report to Android’s Security team at Google
  • Jul 4, 2019 – Google confirmed receiving the report
  • Jul 4, 2019 – A PoC “malicious app” was sent to Google
  • Jul 5, 2019 – A PoC video of an attack scenario was sent to Google
  • Jul 13, 2019 – Google set the severity of the finding as “Moderate”
  • Jul 18, 2019 – Sent further feedback to Google
  • Jul 23, 2019 – Google raised the severity of the finding to “High”
  • Aug 1, 2019 – Google confirms our suspicion that the vulnerabilities may affect other Android smartphone vendors and issues CVE-2019-2234
  • Aug 18, 2019 – Multiple vendors were contacted regarding the vulnerabilities
  • Aug 29, 2019 – Samsung confirmed they are affected
  • Nov 2019 – Both Google and Samsung approved the publication

¿Qué dice Google sobre las vulnerabilidades de la aplicación de la cámara?

Me puse en contacto con Google, y un portavoz me dijo: “Apreciamos que Checkmarx nos haya avisado y que haya trabajado con los socios de Google y Android para coordinar la divulgación. El problema se solucionó en los dispositivos de Google afectados a través de una actualización de Play Store a la aplicación Google Camera en julio 2019. También se puso a disposición un parche para todos los socios “.

También contacté a Samsung para obtener una declaración con respecto a esta divulgación. En el momento de la publicación, no se había recibido respuesta, pero actualizaré este artículo si esa situación cambia. Sin embargo, la divulgación de las vulnerabilidades se retrasó hasta que Google y Samsung emitieron correcciones, por lo que si tiene las últimas versiones de la aplicación de su cámara, entonces debería estar protegido de este escenario de ataque.

Actualizar a la última versión del sistema operativo Android, asegurando que tenga aplicadas las últimas correcciones de seguridad disponibles, y se recomienda la última versión de la aplicación de la cámara para su dispositivo para mitigar su riesgo.

La opinión experta en seguridad: ‘asombroso’

Le pregunté a Ian Thornton-Trump, un experto en inteligencia de amenazas cibernéticas y miembro de la facultad global de CompTIA, su opinión sobre la seriedad de esta divulgación de vulnerabilidad y cómo juega en la narrativa más amplia de seguridad de teléfonos inteligentes. “Me quedé boquiabierto cuando leí este informe sobre cuán vulnerable era la aplicación de la cámara”, dice Thornton-Trump, “no sonaba como una vulnerabilidad, sonaba más como un actor de Amenaza Persistente Avanzada (APT) con software espía con todas las funciones . ”De hecho, Thornton-Trump observó que si los investigadores de seguridad hubieran estado usando sombreros negros, fácilmente podrían haber monetizado esta investigación por cientos de miles de dólares. “Todos están más seguros hoy debido al gran trabajo e integridad de los investigadores de Checkmarx”, dice Thornton-Trump.

Como la mayoría de nosotros, Thornton-Trump está contento de que Google haya publicado una solución y la haya publicado rápidamente, pero dice que, en función de la gravedad y la naturaleza integral de las vulnerabilidades, “es hora de que Google aplique quizás algo del” Proyecto Cero ” capacidad de profundizar en el sistema operativo Android en sí mismo ”. No hay duda de que la gran cantidad de vulnerabilidades de Android que se revelan está perjudicando a la marca Android. El reciente problema de ‘ Pantalla blanca de la muerte ‘ tampoco ha ayudado en las apuestas de reputación. Google necesita hacer más en lo que respecta a la garantía del cliente con respecto a la seguridad y confidencialidad de los dispositivos con Android. Mientras tanto, “cualquier persona que tenga algo que proteger debe actualizarse de inmediato”, dice Thornton-Trump, “si no puede actualizar el dispositivo debido a la edad o la falta de soporte del fabricante, es hora de un nuevo dispositivo”.

Con colaboración de Tecnología al Día

Comparte en las redes sociales

5 comentarios de “Google confirma la amenaza de seguridad de la cámara Android: ‘Cientos de millones’ de usuarios afectados

  1. PD: ”si los investigadores de seguridad hubieran estado usando sombreros negros, “

    El error está en q debería decir: “si los investigadores hubieran sido hackers de sombreo negro”, pues no es q cojas un sombrero negro te lo pongas y seas un hacker malo, ajajaja, sombrero negro hace referencia a los hackers malo y no significa q tengan un sombrero negro en la cabeza jijijiji

  2. Hola,muy interesante esa noticia,pero no se si tiene q ver solamenete con seguridad o ademas con el funcionamiento de la GCam pues mi Pixel 2xl desde hace ya un tiempo no le funciona la camara trasera ademas de la delantera en ocasiones y he oido q varios usuarios con Pixel se ven afectados x este problema,ojala y publicaran algo al respecto x esta via para informarme.Salu2s.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *