CVE-2019-2234 es una marca nueva vulnerabilidad que afecta a los teléfonos inteligentes de Google y Samsung.
La vulnerabilidad, que puede ser descrito como un problema de permisos de bypass, podría permitir a atacantes secuestrar la cámara del dispositivo para tomar fotografías o grabar vídeos, incluso cuando el dispositivo está bloqueado. La vulnerabilidad fue se da a conocer por Erez Yalon y Checkmarx.
Los investigadores analizaron la aplicación de Google Cámara y descubrieron que “mediante la manipulación de las acciones y las intenciones específicas, un atacante puede controlar la aplicación para tomar fotos y / o grabar vídeos a través de una aplicación de delincuentes que no tiene permiso para hacerlo".
Además, el uso de ciertos escenarios de ataque, los hackers pueden eludir directivas de permisos de almacenamiento, accediendo así a videos y fotos almacenadas, así como metadatos GPS integrados en las fotos. Esta información se puede utilizar para localizar al usuario mediante la adopción de una foto o un vídeo y análisis de los datos EXIF adecuados.
El mismo método se puede utilizar para explotar aplicación de la cámara de Samsung, El análisis mostró.
"La capacidad de una aplicación para recuperar la entrada de la cámara, micrófono, y la ubicación GPS se considera altamente invasivo por sí mismos Google. Como resultado, AOSP creado un conjunto específico de permisos que una aplicación debe solicitar al usuario,”El análisis dijo. Por lo tanto, los investigadores diseñaron un escenario de ataque que no pasa por la política de permiso de abusar de la aplicación Cámara de Google de una manera similar a lo que un atacante podría hacer.
CVE-2019-2234 y el dudoso caso de “Permisos de almacenamiento”
El análisis Checkmarx también destaca el carácter dudoso de permisos de almacenamiento. Es un hecho ampliamente conocido que las aplicaciones de cámara de Android suelen almacenar fotos y vídeos en la tarjeta SD del dispositivo. Ya que las fotografías y videos se clasifican como información de usuario altamente sensible, aplicaciones necesitan permisos especiales para acceder a ellas, conocido como "permisos de almacenamiento".
El problema es que estos permisos son demasiado amplias y podrían permitir el acceso a toda la tarjeta SD.
"Hay un gran número de aplicaciones, con casos de uso legítimo, que la solicitud de acceso a este almacenamiento, sin embargo, no tienen ningún interés especial en fotos o videos. De hecho, Es uno de los más comunes pidió permisos observó,”Señalaron los investigadores.
¿Qué significa este? Una aplicación maliciosa es capaz de tomar fotos y videos, y puede abusar de los mismos permisos de almacenamiento. Adicionalmente, si la ubicación está activada en la cámara, la aplicación maliciosa también puede acceder a la ubicación GPS del dispositivo del usuario.
Para probar ese punto los investigadores desarrollaron “una aplicación de prueba de concepto que no requiere ningún permiso especial más allá del permiso de almacenamiento básico.” La prueba de concepto de aplicación burlado una aplicación de tiempo y tenía un cliente y un servidor parte -parte, que representa un servidor de comando y control es el utilizado por los atacantes. Al iniciar la aplicación, una conexión con el servidor de comando y control se inicia, donde la aplicación está esperando instrucciones del presunto agresor. Es fundamental señalar que cerrar la aplicación no termina la conexión persistente.
Aquí está una lista de actividades maliciosas sobre la base de la vulnerabilidad CVE-2019-2234, que se puede llevar a cabo por el operador del servidor de comando y control:
- Tomar una foto en el teléfono de la víctima y la posibilidad de subir a la C&Servidor C
- Grabar un vídeo en el teléfono de la víctima y la posibilidad de subir a la C&Servidor C
- Analizar todas las últimas fotos de las etiquetas GPS y localizar el teléfono en un mapa mundial
- Al operar en modo oculto mediante el cual el teléfono se silencia al tomar fotos y grabar vídeos
- A la espera de una llamada de voz y grabar automáticamente el vídeo de la víctima y audio desde ambos lados de la comunicación.
"Para la mitigación adecuada y como mejor práctica general, asegúrese de actualizar todas las aplicaciones del dispositivo,”Los investigadores recomiendan.