Falha grave no Android permitiu que aplicativos tirassem e carregassem fotos indevidamente

Uma falha grave no Android que foi recentemente revelada afetou todos os dispositivos Android em um ponto permitiu que aplicativos invasores tirassem fotos e enviassem para servidores sem permissão do usuário. 

Felizmente, esta falha da câmera Android foi corrigida em alguns dispositivos. Detalhado pelo CheckMarx (via  ArsTechnica), esse problema permitia que os aplicativos usassem a câmera para tirar fotos sem a permissão do usuário.

Por algum tempo, desde o Marshmallow, o Android usa pop-ups para permitir permissões para aplicativos, incluindo a capacidade de acessar a câmera. Para contornar isso, esse método usava o aplicativo da câmera já existente no dispositivo. Tanto o aplicativo da câmera do Google em Pixels quanto o aplicativo da câmera da Samsung se mostraram vulneráveis.

Usando esse método, os aplicativos vulneráveis ​​da câmera tirariam uma foto na qual o aplicativo mal-intencionado poderia ver os dados EXIF ​​e GPS para determinar até a localização do usuário. As fotos também podem ser carregadas em um servidor remoto.

A Falha grave no Android já foi corrigida, porém em alguns dispositivos a falha poderá ser afetada

Obviamente, para isso, o aplicativo precisaria receber acesso de armazenamento pelo usuário, mas essa é uma das permissões mais fornecidas. Como o aplicativo está controlando outros aplicativos de câmera no dispositivo, o ataque também não pode ocorrer enquanto o usuário está olhando para o dispositivo, pois seria muito óbvio.

Com um aplicativo, o  CheckMarx consegue tirar uma foto enquanto o aplicativo estava fechado e a tela desligada, com dados de GPS dessa foto, espionava uma ligação de duas vias, silenciava o obturador da câmera, transferia essas fotos e vídeos para um servidor externo e puxava as imagens e vídeos já armazenados no telefone. O aplicativo também usou o sensor de proximidade para saber quando foi colocado com a face para baixo como uma maneira de evitar que o usuário veja o ataque em andamento.

A Falha grave no Android já foi corrigida, porém em alguns dispositivos a falha poderá ser afetada.

Felizmente, o Google e a Samsung corrigiram esses problemas em seus aplicativos de câmera. Esta falha do Android foi corrigida no aplicativo Google Câmera em dispositivos Pixel em julho, quando o problema foi relatado pela primeira vez, enquanto a Samsung corrigia o problema posteriormente. O Google diz:

Agradecemos a Checkmarx por chamar nossa atenção e por trabalhar com parceiros do Google e Android para coordenar a divulgação. O problema foi solucionado em dispositivos afetados do Google por meio de uma atualização da Play Store para o Google Câmera em julho de 2019. Um patch também foi disponibilizado para todos os parceiros.

Os parceiros do Android têm acesso a um patch para esse problema, como o Google disse, mas não está claro se todos os parceiros o adotaram. Todos os smartphones Pixel e Galaxy estão imunes neste momento, mas o Google sugeriu ao CheckMarx que alguns de seus parceiros ainda não resolveram o problema. A empresa não confirmou isso publicamente nem mencionou quais podem ainda estar sendo afetados.

VIA9to5 Google

Inscreva-se em nosso canal

Artigos Relacionados