Os hackers podem transformar smartphones Android em dispositivos de espionagem e acessar a câmera, ouvir chamadas e ver a localização do GPS devido a uma falha de segurança

 

 

Foi descoberta uma falha nos smartphones Android que permite que hackers se infiltrem em câmeras sem o conhecimento dos usuários – afetando centenas de milhões de usuários.

 

Os especialistas em segurança descobriram várias vulnerabilidades em dois smartphones Pixel diferentes, que permitem que os invasores ignorem as permissões.

Usando um aplicativo não autorizado, a equipe conseguiu coletar dados da câmera, microfone e localização GPS sem consentimento.

A falha, batizada de CVE-2019-2234, foi descoberta por pesquisadores da empresa de segurança Chexmarx, que permitiram obter acesso à câmera de um dispositivo, transformando o dispositivo inofensivo em um pesadelo de espionagem.

Para entender melhor como as câmeras dos smartphones podem estar abrindo os usuários para os riscos à privacidade, a equipe de pesquisa de segurança da Checkmarx invadiu os próprios aplicativos que controlam essas câmeras para identificar possíveis cenários de abuso’, compartilhou a Checkmarx no site.

‘Com o Google Pixel 2 XL e o Pixel 3 à mão, nossa equipe começou a pesquisar o aplicativo Google Camera, descobrindo várias vulnerabilidades relativas decorrentes de problemas de desvio de permissão.’

“Depois de cavar mais, também descobrimos que essas mesmas vulnerabilidades afetam os aplicativos de câmera de outros fornecedores de smartphones no ecossistema Android – ou seja, a Samsung – apresentando implicações significativas para centenas de milhões de usuários de smartphones.”

A equipe conseguiu armazenar com sucesso a mídia nos dispositivos e acessar a localização do GPS em imagens e vídeos na biblioteca.

Especialistas descobrem falhas que transformam Androids em dispositivos de espionagem
A falha permite que os desenvolvedores silenciem a câmera, para que os usuários não saibam que ela está ativaA falha permite que os desenvolvedores silenciem a câmera, para que os usuários não saibam que ela está ativa
E o sensor de proximidade do smartphone permite que os hackers saibam quando o usuário está falando no dispositivo ou quando está deitado, permitindo que eles usem o aplicativo da câmera sem serem vistos.

E o sensor de proximidade do smartphone permite que os hackers saibam quando o usuário está falando no dispositivo ou quando está deitado, permitindo que eles usem o aplicativo da câmera sem serem vistos.

A falha também lhes permitiu ouvir os dois lados das conversas telefônicas e gravá-las – novamente, sem que os usuários soubessem.

E o sensor de proximidade do smartphone permite que os hackers saibam quando o usuário está falando no dispositivo ou quando está deitado, permitindo que eles usem o aplicativo da câmera sem serem vistos.

Um desenvolvedor conseguia fazer upload de imagens e vídeos do telefone para um servidor se um usuário desse permissão ao aplicativo para acessar o armazenamento do dispositivo.

Para demonstrar a falha, a Checkmarx projetou um aplicativo de prova de conceito que não requer nenhuma permissão especial além da permissão básica de armazenamento.

“O aplicativo malicioso que projetamos para a demonstração nada mais era do que um aplicativo meteorológico de simulação que poderia ter sido malicioso por design”, explicou a empresa.

‘Quando o cliente inicia o aplicativo, ele basicamente cria uma conexão persistente com o servidor C&C e aguarda comandos e instruções do atacante, que está operando o console do servidor C&C de qualquer lugar do mundo.

Usando um aplicativo não autorizado, a equipe conseguiu coletar dados da câmera, microfone e localização GPS sem consentimento

Usando um aplicativo não autorizado, a equipe conseguiu coletar dados da câmera, microfone e localização GPS sem consentimento

‘Mesmo fechar o aplicativo não encerra a conexão persistente.’

O Google respondeu a este teste da Checkmarx em uma declaração: ‘Agradecemos a Checkmarx por chamar nossa atenção e por trabalhar com parceiros do Google e Android para coordenar a divulgação’.

“O problema foi solucionado em dispositivos afetados do Google por meio de uma atualização da Play Store para o aplicativo de câmera do Google em julho de 2019”.

‘Um patch também foi disponibilizado para todos os parceiros. ”

anúncios patrocinados
Anunciando...

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.