Bug Google Camera. Utenti Android a rischio di essere registrati segretamente


E’ stata rivelata una grave vulnerabilità in Android che ha permesso agli hacker di accedere alla fotocamera e catturare segretamente foto e registrare filmati, anche quando il telefono è bloccato o lo schermo è spento.

Il bug, scoperto dai ricercatori di Checkmarx , derivava da problemi di bypass delle autorizzazioni nell’app Google Camera. Il problema (archiviato sotto  CVE-2019-2234)  riguardava i telefoni Pixel, ma si estendeva ulteriormente ai dispositivi Samsung e di altri produttori.

“Un utente malintenzionato tramite questo bug, può controllare l’app per scattare foto e / o registrare video senza bisogno di autorizzazioni per farlo”, scrivono i ricercatori. “Inoltre, abbiamo scoperto che alcuni scenari di attacco consentono ai malintenzionati di accedere anche a video e foto archiviati, nonché metadati GPS incorporati nelle foto, per individuare l’utente scattando una foto o un video e analizzando il dati EXIF ​​adeguati. “

La società di sicurezza ha dimostrato una prova del concetto dell’attacco con questo video caricato su YouTube.

Da allora Google ha confermato il problema, ringraziando i ricercatori per il loro lavoro. La cosa buona è che il bug è già stato risolto.

“Apprezziamo Checkmarx che ha portato il problema alla nostra attenzione”, ha dichiarato la società in una nota. “Il problema è stato risolto sui dispositivi Google interessati tramite un aggiornamento tramite Play Store all’applicazione Google Camera. Una patch è stata resa disponibile anche per tutti i partner.”