Les applications d'appareil photo des téléphones Google et Samsung ont été exposées à de graves failles de sécurité qui pourraient être utilisées par des pirates pour espionner des centaines de millions d'utilisateurs. Grâce à cette vulnérabilité, les pirates peuvent utiliser le téléphone de la victime pour prendre des photos, enregistrer des vidéos, enregistrer des appels vocaux et même suivre l'emplacement de l'utilisateur. Le téléphone est-il toujours en sécurité ? Venez dans le cercle d'amis de Xinzhiyuan AI pour discuter avec des célébrités de l'IA. Vous pouvez être surveillé tout le temps sans savoir qui regarde.
Les caméras sont passées d'un module complémentaire à un téléphone à un moyen de documenter la vie. Face à la forêt dorée de ginkgo, aux premières neiges sur les branches et à la hot pot entre amis, nous sortons tous nos téléphones portables, allumons l'appareil photo pour prendre des photos ou enregistrer des vlogs, qui sont devenus pour nous des chaînes à regarder, enregistrer et exprimer le monde.
Mais si la caméra de votre téléphone était allumée pour surveiller votre vie sans même que vous vous en rendiez compte, cela pourrait être le Truman World des temps modernes.
Maintenant ce si, il y a une petite possibilité de devenir une réalité. Selon les médias, l'équipe de recherche en sécurité de Checkmarx a découvert une vulnérabilité dans les téléphones Android.Les attaquants peuvent contourner les autorisations Android en accédant à l'espace de stockage du téléphone et peuvent contrôler à distance le téléphone pour prendre des photos et enregistrer à distance sans le consentement de l'utilisateur.Vidéo, surveiller les conversations.
L'équipe de recherche dit-elle qu'il y a des échappatoires quand il y en a? Est-ce alarmiste? Voyons d'abord ce qui se cache derrière l'équipe de recherche en sécurité de Checkmarx.
Checkmarx est une société israélienne de logiciels de haute technologie et le producteur de Checkmarx CxSuite, le logiciel d'analyse de sécurité du code source le plus célèbre au monde. Checkmarx a été nominé en tant que leader dans le Gartner Magic Quadrant 2019 pour les tests de sécurité des applications, a remporté le prix Infosec 2019 du magazine Cyber Defense dans la catégorie Market Leader in Application Security et a remporté le prix Application Security Solution of the Year.
Les recherches de pointe sur les vulnérabilités logicielles de son équipe de recherche en sécurité sur Alexa, Tinder, LeapFrog LeapPad d'Amazon et d'autres produits ont été rapportées par des médias bien connus tels que "Good Morning America", "Consumer Reports" et "Fortune", attirant l'attention de l'industrie.
Cette fois, l'équipe de recherche en sécurité de Checkmarx a découvert plusieurs vulnérabilités dans l'application Google Camera (Google Camera) sur les téléphones Google Pixel 2XL et Pixel 3 en raison de problèmes qui permettent aux attaquants de contourner les autorisations des utilisateurs. De plus, l'appareil photo Samsung présente également cette vulnérabilité.
Auparavant, l'équipe de recherche avait également révélé qu'Alexa et Tinder d'Amazon avaient ce problème. Rien qu'en considérant la portée des téléphones Google et Samsung, ces vulnérabilités pourraient affecter des centaines de millions d'utilisateurs, voire les menacer.
La vulnérabilité, baptisée CVE-2019-2234, permet elle-même à une application malveillante d'obtenir à distance des données de caméra, de microphone et de localisation GPS. Les implications de pouvoir le faire sont si graves que le projet Open Source Android (AOSP) dispose d'un ensemble dédié d'autorisations que toute application doit demander et obtenir l'autorisation de l'utilisateur avant de pouvoir activer de telles opérations.
Ce que les chercheurs de Checkmarx ont fait, c'est créer un scénario d'attaque qui a abusé de l'application Google Camera elle-même pour contourner ces autorisations. Pour ce faire, ils ont créé une application malveillante qui exploite l'une des autorisations les plus demandées : l'accès au stockage.
L'autorisation demandée par l'application malveillante est uniquement "l'accès au stockage"
"Cette application malveillante exécutée sur un smartphone Android peut lire la carte SD", a déclaré Yalon. "Elle peut non seulement accéder aux photos et vidéos passées, mais également exploiter cette nouvelle possibilité. prendre de nouvelles photos et vidéos à volonté."
Une application malveillante lance silencieusement l'enregistrement vidéo du téléphone
Une application malveillante enregistre les appels à distance
Comment les attaquants pourraient-ils exploiter les vulnérabilités de l'application Appareil photo Google ?
Checkmarx a créé un exploit de preuve de concept (PoC) en développant une application malveillante. Il s'agit d'une application météo qui a toujours été populaire dans le Google Play Store. Outre les autorisations d'accès au stockage de base, cette application ne nécessite aucune autorisation spéciale. Il est peu probable que l'application alarme l'utilisateur, car seule une autorisation aussi simple et ordinaire doit être demandée. Après tout, les gens ont l'habitude de remettre en question des demandes d'autorisation inutiles et générales, et non une seule demande d'autorisation courante.
Cependant, cette application est loin d'être anodine. Il est divisé en deux parties, une application client qui s'exécute sur le smartphone et un serveur de commande et de contrôle qui s'y connecte pour exécuter les commandes de l'attaquant.
Une fois l'application installée et démarrée, elle crée une connexion persistante au serveur de commande et de contrôle, puis attend les instructions. La fermeture de l'application ne ferme pas la connexion au serveur.
Quelles commandes un attaquant peut-il envoyer et quelles actions peuvent en résulter ? Cette longue liste pourrait vous faire frémir :
L'information a été publiée conjointement par Google et Samsung ces derniers jours pour s'assurer que les deux sociétés ont publié des correctifs pour la vulnérabilité. La divulgation de la vulnérabilité, cependant, a commencé le 4 juillet, lorsque Checkmarx a soumis un rapport de vulnérabilité à l'équipe de sécurité Android de Google, qui a commencé la divulgation en coulisses.
Le 13 juillet, Google a initialement défini la gravité de la vulnérabilité sur moyenne, mais après de nouveaux commentaires de Checkmarx, la gravité a été rétrogradée à "élevée" le 23 juillet.
Le 1er août, Google a confirmé que les vulnérabilités affectaient l'ensemble de l'écosystème Android, avec d'autres fabricants de smartphones également affectés, et a publié CVE-2019-2234.
Le 18 août, Google a contacté plusieurs fournisseurs ; le 29 août, Samsung a confirmé que la vulnérabilité affectait leurs appareils.
Google répond qu'il a fourni un correctif, les experts en sécurité : "C'est juste à couper le souffle"
Google répond : des correctifs ont été fournis à tous les partenaires
Après avoir été contacté par les médias, un porte-parole a déclaré : "Nous sommes reconnaissants à Checkmarx de nous avoir alertés sur cette vulnérabilité et de travailler avec des partenaires de Google et Android pour coordonner la divulgation. Via Google Play Store, sortie en juillet 2019. Une mise à jour de l'appareil photo a résolu le problème sur les téléphones Google concernés. Nous avons également mis le correctif à la disposition de tous les partenaires."
Cependant, la divulgation de la vulnérabilité a été retardée jusqu'à ce que Google et Samsung publient des correctifs. Par conséquent, si vous disposez de la dernière version de l'application pour appareil photo, assurez-vous de mettre à jour la dernière version pour éviter la menace d'une attaque.
En outre, mettez à jour vers la dernière version du système d'exploitation Android, assurez-vous que votre téléphone dispose des derniers correctifs de sécurité disponibles et recommandez d'utiliser la dernière version de l'application appareil photo pour votre appareil afin de réduire les risques.
Ce que les experts en sécurité ont à dire sur la gravité de la vulnérabilité et comment elle affectera la sécurité plus large des smartphones.
Thornton-Trump a déclaré: "Ma mâchoire est tombée quand j'ai lu ce rapport sur la vulnérabilité de l'application de caméra. Cela ne ressemble pas à un bogue, mais plutôt à une version de haut niveau avec un logiciel espion complet. Menace persistante (APT)."
En fait, Thornton-Trump a remarqué que si les chercheurs en sécurité étaient des chapeaux noirs, ils pourraient facilement monétiser cette recherche pour des centaines de milliers de dollars. "Grâce à l'excellent travail et à l'intégrité des chercheurs de Checkmarx, tous les utilisateurs d'Android sont désormais plus en sécurité", a-t-il déclaré.
Thornton-Trump était ravi que Google publie bientôt un correctif, mais a déclaré qu'en raison de la gravité et de l'étendue de la vulnérabilité, "il est également temps pour Google de laisser certaines des capacités de" Project Zero "approfondir le système d'exploitation Android lui-même.."
"Il ne fait aucun doute que le volume élevé de vulnérabilités Android divulguées nuit à la marque Android. Le récent problème de" l'écran blanc de la mort "n'est pas non plus bon pour la réputation de l'entreprise. Google doit faire plus pour s'assurer que les utilisateurs font confiance à la sécurité et à la confidentialité. des appareils Android En attendant, toute personne ayant besoin d'une protection doit mettre à jour ses systèmes immédiatement », a-t-il déclaré. « Si vous ne pouvez pas mettre à jour votre appareil parce qu'il vieillit ou qu'il manque de support du fabricant, il est temps d'obtenir un nouvel appareil.