Il difetto, CVE-2019-2234, è un problema di bypass delle autorizzazioni che consente l'accesso in tempo reale a un telefono tramite l'applicazione della fotocamera, secondo un rapporto del Checkmarx Security Research Team. L'acquisizione del telefono inizia con la vittima che scarica un'app dannosa che richiede l'autorizzazione di accesso all'archiviazione e che una volta scaricata crea una connessione persistente a un server di comando e controllo che non può essere interrotta anche se l'app è chiusa, lo schermo è spento o il telefono bloccato .
Il team Checkmarx ha testato le sue teorie su telefoni modello Google Pixel 2 e 3 e Samsung ha successivamente confermato che alcuni dei suoi dispositivi che utilizzavano l'app erano anche sensibili alla vulnerabilità.
"Abbiamo scoperto che alcuni scenari di attacco consentono agli attori malintenzionati di eludere varie politiche di autorizzazione allo stoccaggio, dando loro accesso a video e foto archiviati, nonché metadati GPS incorporati nelle foto, per individuare l'utente scattando una foto o un video e analizzando l'EXIF corretto dati ", ha detto il team.
Google e Samsung hanno confermato che il problema esiste e Google ha emesso una patch per correggere il problema.
"Apprezziamo Checkmarx che ci ha portato alla nostra attenzione e che collabora con i partner di Google e Android per coordinare la divulgazione. Il problema è stato risolto su dispositivi Google interessati tramite un aggiornamento del Play Store all'applicazione Google Camera a luglio 2019. È stata inoltre resa disponibile una patch per tutti i partner ", ha affermato un rappresentante di Google.
Craig Young, ricercatore di sicurezza informatica di VERT, è rimasto sorpreso dal fatto che Google abbia permesso a un simile difetto di superare i propri sforzi di controllo e qualità.
"Uno degli aspetti più importanti della sicurezza delle app Android è il blocco delle attività esportate. All'interno di Android, Intents funge da collante per l'interazione tra applicazioni in fase di runtime consentendo, ad esempio, a un'app di invocare un'attività da un'altra. Le attività dannose possono essere sfruttate da app dannose per eseguire azioni o accedere a dati che normalmente comportano una richiesta di autorizzazioni ", ha affermato Young.
Prima che la patch venisse applicata, un utente malintenzionato che lavorava sul server di comando e controllo poteva vedere quali dispositivi erano collegati al telefono e intraprendere queste azioni:
- Scatta una foto sul telefono della vittima e caricala (recuperala) sul server C&C.
- Registra un video sul telefono della vittima e caricalo (recuperalo) sul server C&C.
- Analizza tutte le foto più recenti per i tag GPS e individua il telefono su una mappa globale.
- Funziona in modalità invisibile per cui il telefono viene silenziato mentre scatta foto e registra video.
- Attendi una chiamata vocale e registra automaticamente video dal lato della vittima e audio da entrambi i lati della conversazione.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
