L'équipe de recherche sur la sécurité de Checkmarx a découvert plusieurs vulnérabilités affectant les smartphones Google et Samsung, qui pourraient permettre à un attaquant de prendre le contrôle de l'application pour appareil photo d'un appareil afin de prendre des photos à distance, d'enregistrer des vidéos et même d'espionner les conversations et l'emplacement des utilisateurs.
L'équipe a initialement commencé à rechercher l'application Google Camera sur un Pixel 2XL et un Pixel 3 lorsqu'elle a découvert plusieurs vulnérabilités résultant de problèmes de contournement des autorisations. Checkmarx a approfondi ses recherches et a constaté que ces mêmes vulnérabilités avaient également une incidence sur l'application pour appareils photo de Samsung et sur les autres fournisseurs de smartphones Android.
Le directeur de la recherche sur la sécurité chez Checkmarx, Erez Yalon et le chercheur principal en sécurité de la société, Pedro Umbelino, ont expliqué comment ils ont pu utiliser une application non autorisée pour prendre le contrôle de l'application Google Camera dans un blog post, en disant:
«Après une analyse détaillée de l'application Google Camera, notre équipe a constaté qu'en manipulant des actions et des intentions spécifiques, un attaquant peut contrôler l'application pour prendre des photos et / ou enregistrer des vidéos via une application non autorisée qui ne dispose pas des autorisations nécessaires. De plus, nous avons constaté que certains scénarios d’attaque permettaient à des acteurs malveillants de contourner diverses règles d’autorisation de stockage, en leur donnant accès aux vidéos et photos stockées, ainsi qu’aux métadonnées GPS incorporées dans les photos, afin de localiser l’utilisateur en prenant une photo ou une vidéo et en analysant le contenu approprié. Données EXIF. Cette même technique s’applique également à l’application Appareil photo de Samsung. "
Sommaire
Vulnérabilités des applications de caméra
Afin d'exploiter les vulnérabilités découvertes par son équipe dans l'application Google Camera, Checkmarx a développé une application malveillante en tant qu'exploitation de preuve de concept. L'application météo qu'elle a créée ne nécessitait aucune autorisation spéciale, à l'exception de l'accès de base au stockage, autorisation usuelle demandée par de nombreuses autres applications du Google Play Store.
Toutefois, en plus de son application météo, Checkmarx a également mis en place un serveur de commande et de contrôle auquel l'application se connecte afin d'exécuter les enchères d'un attaquant. Une fois l'application installée et ouverte sur le périphérique d'un utilisateur, elle crée une connexion persistante au serveur de commande et de contrôle et attend les instructions.
Même si un utilisateur devait fermer l'application, celle-ci serait toujours connectée au serveur et un attaquant pourrait lui ordonner de prendre une photo, d'enregistrer une vidéo, d'enregistrer du son à partir d'appels vocaux, de capturer des balises GPS à partir de photos et d'accéder aux données stockées sur le serveur. dispositif. Toutes les photos et vidéos prises par l'application seraient ensuite téléchargées sur le serveur.
L’exploitation de validation de concept créée par Checkmarx permettrait même à un attaquant d’enregistrer une vidéo et de prendre des photos si le smartphone était verrouillé.
Google et Samsung ont tous deux publié des correctifs pour les vulnérabilités et, afin d'éviter de devenir victime d'une attaque similaire, les utilisateurs doivent mettre à jour leurs appareils avec la dernière version d'Android, vérifier que les derniers correctifs de sécurité disponibles ont été appliqués et mettre à jour leur application d'appareil photo. ainsi que.
Via Forbes