Un bug di sicurezza scoperto su Android ha permesso ad alcune app di registrare video, scattare foto e acquisire audio senza che l’utente se ne accorgesse.
Tutti i contenuti catturati da queste app venivano caricati su un server remoto, senza ovviamente l’autorizzazione dell’utente. La vulnerabilità è stata scoperta dalla società di sicurezza Checkmarx ed è stata evidenziata da Ars Technica. Il bug aveva il potenziale di lasciare fotocamere e microfoni aperti alla possibilità di registrare illegalmente dallo smartphone tutto l’ambiente circostante.
Android prevede un sistema che impedisce alle app di accedere alla videocamera e al microfono dello smartphone senza l’autorizzazione dell’utente, ma con questo particolare exploit, un’app poteva utilizzare la videocamera e il microfono per acquisire video e audio senza il consenso espresso dell’utente. Tutto ciò che un’app doveva fare era ottenere l’autorizzazione ad accedere allo spazio di archiviazione di un dispositivo, che è comunemente concessa da tutti gli utenti quando un’app la richiede.
Per dimostrare la presenza di questo bug, Checkmarx ha creato un’app di prova che offriva previsioni meteo, ma in realtà raccoglieva tantissimi dati privati in bakcground. L’app è stata in grado di scattare foto e registrare video anche quando lo schermo del telefono era spento o l’app era chiusa, oltre ad accedere ai dati sulla posizione dalle foto. Era in grado anche di funzionare in modalità invisibile, eliminando il suono dell’otturatore della fotocamera e poteva registrare conversazioni telefoniche bidirezionali. Tutti i dati sono stati caricati su un server remoto.
Quando l’exploit è stato utilizzato, lo schermo dello smartphone attaccato mostrava la videocamera durante la registrazione di video o lo scatto di una foto. Per evitare che l’utente potesse accorgersene, l’app poteva essere attivata quando il telefono era lontano dalla vista del suo proprietario o, sfruttando i sensori di prossimità, solo quando lo smartphone era rivolto verso il basso.
Google ha risolto la vulnerabilità nei suoi smartphone Pixel attraverso un aggiornamento della fotocamera lanciato a luglio. Anche Samsung ha risolto il bug con un aggiornamento, ma non è chiaro quando sia stato rilasciato.
Queste le parole di Google: “Apprezziamo che Checkmarx abbia portato questo problema alla nostra attenzione e abbia collaborato con i partner di Google e Android per coordinarne la divulgazione. Il problema è stato risolto sui dispositivi Google colpiti tramite un aggiornamento del Play Store all’applicazione Google Camera a luglio 2019. È stata inoltre resa disponibile una patch per tutti i partner”.
Google ha affermato che anche i telefoni Android di altri produttori potrebbero essere vulnerabili al problema, quindi potrebbero esserci ancora alcuni dispositivi aperti agli attacchi. Google non ha divulgato produttori e modelli specifici.
Poiché si tratta di un bug Android, i dispositivi iOS non sono interessati da questo bug di sicurezza.