Aplicativos da Samsung e do Google Camera vulneráveis a seqüestros, consertam no caminho
No início deste ano, a Apple foi escolhida por um bug no seu novo recurso do Group FaceTime que praticamente permitia que qualquer pessoa espionasse um usuário do iPhone ou iPad simplesmente fazendo e depois efetuando uma chamada secreta. Agora parece que o mundo do Android tem algo que pode ser mais sinistro e mais discreto. Graças a um bug encontrado nos aplicativos de câmera do Google, Samsung e outros fabricantes de equipamentos originais, um aplicativo quase imperceptível pode espionar secretamente o proprietário usando as câmeras de seus próprios telefones.E todas as necessidades de aplicativos mal-intencionados devem receber permissões de armazenamento de dados.
A partir do Android 6.0 Marshmallow, a plataforma móvel do Google empregava um sistema de permissão mais refinado que apenassolicitou e concedeu acesso a determinados recursos de hardware, caso a caso. Em outras palavras, os aplicativos que não tinham negócios acessando câmeras ou microfones não poderiam fazê-lo, a menos que pedissem permissão e o usuário concedesse por um motivo ou outro. Infelizmente, um bug relatado pelo Checkmarx em julho passado é capaz de contornar o uso do que parece ser um aplicativo legítimo sem câmera.
Esse aplicativo pareceria inofensivo para os usuários e para os sistemas antimalware automatizados do Google.O aplicativo pode nem solicitar permissões além do acesso ao armazenamento de dados, talvez para salvar configurações ou arquivos. Infelizmente, o bug permitiria que eles sequestrassem aplicativos de câmera, que também usam permissões de armazenamento para salvar fotos e vídeos, e são capazes de controlar remotamente e silenciosamente o aplicativo de câmera para tirar fotos ou gravar vídeos ou até mesmo usar o acesso GPS do aplicativo de câmera para obtera localização do telefone.
A vulnerabilidade afeta os aplicativos de câmera do Google e Samsung. Outros OEMs do Android também podem ser afetados, mas apenas esses dois foram nomeados. Seguindo as regras de divulgação, o grupo de pesquisa de segurança alertou o Google sobre a vulnerabilidade em julho, com a Samsung reconhecendo o bug em agosto.
O Google lançou uma correção nas atualizações de segurança deste mês, que já deveriam ter sido lançadas nos telefones Pixel. Se eles atingem dispositivos afetados, incluindo os da Samsung, é algo que apenas os OEMs podem responder. Infelizmente, o ecossistema diversificado e fragmentado do Android dificulta a identificação.
Via: Slash Gear
Nenhum comentário