È stato scoperto un pericoloso bug in numerosi modelli di smartphone Android prodotti da Google, Samsung e altri che consente ai criminal hacker di controllare a distanza il dispositivo e scattare foto o registrare video sfruttando l’app Fotocamera senza avere permessi specifici per farlo, anche a telefono bloccato o a schermo spento e addirittura silenziando l’otturatore in modo che la vittima non possa sentire quando si scattano le foto.
Indice degli argomenti
Bug nella Fotocamera di Android: i dettagli
In particolare, sfruttando con successo la vulnerabilità scoperta dai ricercatori di sicurezza di Checkmarx e identificata come CVE-2019-2234, i criminal hacker potrebbero essere in grado di bypassare i controlli di sicurezza del sistema operativo Android basati sulle autorizzazioni che di fatto impongono alle applicazioni installate sui dispositivi mobile di definire esplicitamente a quali servizi, funzionalità e dati personali dell’utente accederanno.
Aggirate tali restrizioni, un eventuale attaccante è in grado di accedere alla telecamera e al microfono del dispositivo senza alcuna autorizzazione a farlo.
In un altro scenario di cyber spionaggio, gli attaccanti potrebbero riuscire a bypassare i permessi di archiviazione e accedere a foto e video archiviati nella memoria interna ed esterna del dispositivo, riuscendo anche a identificare l’esatta posizione geografica della vittima scattando foto e video e analizzandone i relativi dati EXIF.
Normalmente, qualunque app dovrebbe avere i seguenti permessi per registrare video, scattare foto o accedere alla posizione del dispositivo:
- android.permission.CAMERA
- android.permission.RECORD_AUDIO
- android.permission.ACCESS_FINE_LOCATION
- android.permission.ACCESS_COARSE_COARSE_LOCATION
I ricercatori di sicurezza di Checkmarx hanno invece scoperto (e mostrato in un PoC, Proof-of-Concept) che una qualunque app malevola dotata della sola autorizzazione “Storage” (quella più comunemente richiesta) per l’accesso alla memoria dello smartphone potrebbe sfruttare la vulnerabilità dell’app Fotocamera di Android e tutte le sue autorizzazione per portare a termine un attacco di cyber spionaggio a totale insaputa della vittima.
Per comprendere la gravità del problema, basti pensare che sono tantissime le applicazioni che richiedono il permesso di accesso alla memoria del telefonino, tra cui giochi di corse automobilistiche, servizi di streaming e persino le app per le previsioni meteo.
Ecco come correggere la vulnerabilità
I ricercatori Checkmarx hanno rivelato la vulnerabilità a Google lo scorso 4 luglio 2019. Il 23 luglio Big G l’ha quindi confermata e classificata con un indice di gravità “Elevato”.
Il successivo primo agosto Google ha confermato che la vulnerabilità ha influenzato anche le applicazioni Camera di altri produttori di dispositivi mobili Android.
Sempre nel mese di agosto, inoltre, si è accertato che anche l’applicazione Camera di Samsung era esposta alla vulnerabilità.
Per i dispositivi Google la vulnerabilità è quindi stata corretta con un aggiornamento dell’app Fotocamera resa disponibile sul Google Play Store. La patch, inoltre, è stata distribuita anche ad altri produttori. Il consiglio per prevenire qualunque tentativo di cyber spionaggio è dunque quello di aggiornare l’app della fotocamera il prima possibile.
