actualidad
Error de Google activaba la cámara de teléfonos y grababa sin permiso
La falla fue detectada en julio por un grupo de científicos y usuarios. Ya se solucionó. Mirá los detalles en esta nota completa.
La empresa de seguridad Checkmarx encontró hace unos meses, una vulnerabilidad en la app de cámara de Google que, de ser explotada, le permitía a un hacker tomar el control de la cámara, sacar fotos y grabar videos de manera remota, así como grabar conversaciones.
Los investigadores crearon una prueba de concepto para testear esta vulnerabilidad: generaron una app maliciosa que explotaba uno de los permisos más habituales, el acceso al almacenamiento del celular.
Este es un premiso que muchas apps solicitan y, por definición, no debería generar problemas ni implicar la activación de la cámara de modo remoto, sin embargo, a raíz de esta falla, con la app maliciosa se podía saltear los límites.
La aplicación maliciosa lograba tener acceso irrestricto a las fotos y los videos almacenados, pero no sólo eso: sino que también podía activar la cámara cuando quisiese para grabar o tomar imágenes. Todo esto normalmente no debe ocurrir, pero al explotar la vulnerabilidad, vieron que podían eludir los permisos y así lograr tener control del dispositivo sin que el usuario lo supiese.
Esta app maliciosa creada a modo de prueba por la empresa de seguridad consistía en dos partes: la app que se ejecutaba en el celular del usuario y un servidor de control y comando al que se conectaba para ejecutar las órdenes del atacante. Una vez que la aplicación se instalaba y se iniciaba, creaba una conexión persistente a ese servidor de comando y control que persistía incluso cuando la app estaba cerrada.
Los expertos en seguridad digital encontraron que los principales teléfonos que sufrían de este problema eran los Google Pixel 2 XL y el Pixel 3. Luego también pudieron probar que esta misma falla estaba presente en la app de cámara de los móviles Samsung.
Ante la posibilidad de que este fallo de seguridad impactara a “millones de usuarios” de Android, la firma Checkmarx lo reportó a Google, quien realizó pruebas para verificar el error y, después de confirmarlo, generaron una una solución para este problema.
La compañía de Mountain View emitió una respuesta relacionada con el trabajo de los especialistas y con el fin de apaciguar los impetus de los usuarios: “Agradecemos que Checkmarx nos llame la atención y trabaje con los socios de Google y Android para coordinar la divulagación (...) El problema se abordó en los dispositivos afectados a través de una actualización de Play Store para la app de la cámara”.
