La società di sicurezza Checkmarx ha trovato molteplici vulnerabilità nell’app Google Camera. Quest’ultima ha permesso agli hacker di spiare gli utenti. Il problema, che ha interessato anche Samsung, ha coinvolto “centinaia di milioni di utenti e smartphone”. Il team della società ha scoperto che “manipolando azioni e intenti specifici, un utente malintenzionato può controllare l’app per scattare foto e/o registrare video attraverso un’applicazione che non ha il permesso di farlo”.
Checkmarx ha anche scoperto che in alcuni casi gli hacker possono accedere a video e foto memorizzati. L’azienda è stata in grado di accedere a queste vulnerabilità utilizzando un’app meteo che richiedeva solo l’autorizzazione di archiviazione di base. Secondo l’azienda, i permessi di archiviazione sono “molto ampi” e danno accesso all’intera scheda SD. Ciò significa che un’applicazione non autorizzata può scattare foto e/o video senza autorizzazioni specifiche per la fotocamera e ha solo bisogno delle autorizzazioni per l’archiviazione dei dati.
Google: risolto il bug che permette ai malintenzionati di accedere ai dati della fotocamera del nostro dispositivo Android
Inoltre, “se la posizione è abilitata, l’applicazione ha anche un modo per accedere all’attuale posizione GPS del telefono e dell’utente”. Queste le dichiarazioni del team di sicurezza sul suo sito Web. “Potremmo facilmente registrare la voce del destinatario durante una telefonata”. Le vulnerabilità includevano quindi le seguenti possibilità: scattare una foto o registrare un video sul telefono della vittima e caricarli (recuperarli) sul server C&C, tramite i tag GPS individuare il telefono sulla mappa. Infine, la possibilità di registrare le telefonate. Tutto ciò in modalità invisibile, impercettibile per l’utente.
Dopo aver identificato il bug, l’azienda ha notificato a Google che, dopo aver studiato il rapporto, le vulnerabilità “non erano specifiche della linea di prodotti Pixel. L’impatto si estende nel più ampio ecosistema Android“. Da allora il colosso della tecnologia ha risolto le vulnerabilità e ha ringraziato la società di sicurezza per aver identificato il problema.
“Apprezziamo Checkmarx che collabora con i partner di Google e Android per coordinare la divulgazione”, ha affermato un portavoce di Google. “Il problema è stato risolto sui dispositivi Google interessati tramite un aggiornamento del Play Store all’applicazione Google Camera a luglio 2019. Una patch è disponibile anche per tutti i partner. La protezione della privacy dei consumatori deve essere una priorità per tutti noi nel mondo sempre più connesso di oggi”, ha concluso la società.