Le app della fotocamera dei telefoni Google e Samsung sono state esposte a gravi falle di sicurezza che potrebbero essere utilizzate dagli hacker per spiare centinaia di milioni di utenti. Attraverso la vulnerabilità, gli hacker possono utilizzare il telefono della vittima per scattare foto, registrare video, registrare chiamate vocali e persino tracciare la posizione dell'utente. Il telefono è ancora sicuro? Vieni alla cerchia di amici dell'IA di Xinzhiyuan per discutere con le celebrità dell'IA. Potresti essere costantemente osservato senza sapere chi sta guardando.
Le fotocamere sono state aggiornate da un componente aggiuntivo a un telefono a un modo per documentare la vita. Di fronte alla foresta dorata di ginkgo, alla prima neve sui rami e all'incontro caldo con gli amici, tiriamo fuori tutti i nostri telefoni cellulari, accendiamo la fotocamera per scattare foto o registrare vlog, che sono diventati i nostri canali da guardare, registrare ed esprimere il mondo.
Ma se la fotocamera del tuo telefono è stata accesa per monitorare la tua vita senza che tu te ne accorga, questo potrebbe essere il moderno Truman World.
Ora questo se, c'è una piccola possibilità di diventare una realtà. Secondo i media, il team di ricerca sulla sicurezza di Checkmarx ha scoperto una vulnerabilità nei telefoni Android. Gli aggressori possono aggirare le autorizzazioni Android accedendo allo spazio di archiviazione del telefono e possono controllare da remoto il telefono per scattare foto e registrare in remoto senza il consenso dell'utente. Video, monitorare le conversazioni.
Il team di ricerca dice che ci sono scappatoie quando ci sono scappatoie? È allarmista? Per prima cosa, diamo un'occhiata a cosa c'è dietro il team di ricerca sulla sicurezza di Checkmarx.
Checkmarx è una società di software high-tech israeliana e produttore di Checkmarx CxSuite, il software di scansione della sicurezza del codice sorgente più famoso al mondo. Checkmarx è stato nominato Leader nel Gartner Magic Quadrant for Application Security Testing 2019, ha vinto l'Infosec Award 2019 della rivista Cyber Defense nella categoria Market Leader in Application Security e ha vinto il premio Application Security Solution of the Year.
La ricerca sulla vulnerabilità del software all'avanguardia del suo team di ricerca sulla sicurezza su Alexa, Tinder, LeapFrog LeapPad di Amazon e altri prodotti è stata segnalata da noti media come "Good Morning America", "Consumer Reports" e "Fortune", attirando l'attenzione del settore.
Questa volta, il team di ricerca sulla sicurezza di Checkmarx ha scoperto diverse vulnerabilità nell'app Google Camera (Google Camera) sui telefoni Google Pixel 2XL e Pixel 3 a causa di problemi che consentono agli aggressori di aggirare le autorizzazioni degli utenti. Inoltre, anche la fotocamera Samsung presenta questa vulnerabilità.
In precedenza, il team di ricerca ha anche rivelato che Alexa e Tinder di Amazon hanno questo problema. Considerando la portata dei telefoni Google e Samsung, queste vulnerabilità potrebbero interessare centinaia di milioni di utenti o addirittura minacciarli.
La vulnerabilità, denominata CVE-2019-2234, consente a un'applicazione dannosa di ottenere in remoto input da fotocamera, microfono e dati sulla posizione GPS. Le implicazioni di essere in grado di farlo sono così gravi che l'Android Open Source Project (AOSP) ha un set dedicato di autorizzazioni che qualsiasi app deve richiedere e ottenere l'autorizzazione dall'utente prima di poter abilitare tali operazioni.
Ciò che i ricercatori di Checkmarx hanno fatto è stato creare uno scenario di attacco che abusava dell'app Google Camera stessa per aggirare queste autorizzazioni. Per fare ciò, hanno creato un'app dannosa che sfrutta uno dei permessi più richiesti: l'accesso allo storage.
L'autorizzazione richiesta dall'app dannosa è solo 'accesso allo spazio di archiviazione'
"Questa app dannosa in esecuzione su uno smartphone Android può leggere la scheda SD", ha affermato Yalon. "Non solo può accedere a foto e video passati, ma anche sfruttare questa nuova scatta nuove foto e video a piacimento."
L'app dannosa avvia silenziosamente la registrazione video del telefono
L'app dannosa registra le chiamate in remoto
In che modo gli aggressori potrebbero sfruttare le vulnerabilità nell'app Google Fotocamera?
Checkmarx ha creato un exploit proof-of-concept (PoC) sviluppando un'applicazione dannosa. Questa è un'app meteo che è sempre stata popolare nel Google Play Store. Oltre alle autorizzazioni di accesso alla memoria di base, questa app non richiede autorizzazioni speciali. È improbabile che l'app allerti l'utente, poiché è necessario richiedere solo un'autorizzazione così semplice e ordinaria. Dopotutto, le persone sono abituate a mettere in discussione richieste di autorizzazione non necessarie e ampie, non una singola richiesta di autorizzazione comune.
Tuttavia, questa app è tutt'altro che innocua. È diviso in due parti, un'applicazione client che gira sullo smartphone e un server di comando e controllo che si collega ad esso per eseguire i comandi dell'attaccante.
Una volta installata e avviata, l'applicazione crea una connessione permanente al server di comando e controllo e attende le istruzioni. La chiusura dell'applicazione non chiude la connessione al server.
Quali comandi può inviare un utente malintenzionato e quali azioni possono risultare? Questa lunga lista potrebbe farti rabbrividire:
L'informazione è stata rilasciata congiuntamente da Google e Samsung nei giorni scorsi per garantire che entrambe le società abbiano rilasciato patch per la vulnerabilità. La divulgazione della vulnerabilità, tuttavia, è iniziata il 4 luglio, quando Checkmarx ha presentato un rapporto sulla vulnerabilità al team di sicurezza Android di Google, che ha avviato la divulgazione dietro le quinte.
Il 13 luglio, Google inizialmente ha impostato la gravità della vulnerabilità su media, ma dopo ulteriori feedback da Checkmarx, la gravità è stata declassata a "alta" il 23 luglio.
Il 1° agosto, Google ha confermato che le vulnerabilità hanno interessato il più ampio ecosistema Android, con altri produttori di smartphone interessati, e ha emesso CVE-2019-2234.
Il 18 agosto Google ha contattato più fornitori; il 29 agosto Samsung ha confermato che la vulnerabilità interessava i loro dispositivi.
Google risponde con la patch fornita, esperto di sicurezza: "È semplicemente sbalorditivo"
Risposta di Google: patch fornita a tutti i partner
Dopo essere stato contattato dai media, un portavoce ha dichiarato: "Siamo grati a Checkmarx per averci avvisato di questa vulnerabilità e per aver collaborato con i partner di Google e Android per coordinare la divulgazione. Tramite il rilascio di Google Play Store a luglio 2019. Un aggiornamento alla fotocamera app ha risolto il problema sui telefoni Google interessati. Abbiamo anche reso disponibile la patch a tutti i partner."
Tuttavia, la divulgazione della vulnerabilità è stata ritardata fino al rilascio delle patch da parte di Google e Samsung, quindi se disponi dell'ultima versione dell'app della fotocamera, assicurati di aggiornare all'ultima versione per evitare la minaccia di un attacco.
Inoltre, aggiorna all'ultima versione del sistema operativo Android, assicurati che il tuo telefono disponga delle ultime patch di sicurezza disponibili e consiglia di utilizzare l'ultima versione dell'app della fotocamera per il tuo dispositivo per ridurre i rischi.
Cosa hanno da dire gli esperti di sicurezza sulla gravità della vulnerabilità e su come influirà sulla sicurezza più ampia degli smartphone.
Thornton-Trump ha dichiarato: "Sono rimasto a bocca aperta quando ho letto questo rapporto su quanto sia vulnerabile l'app della fotocamera. Non sembra un bug, ma più una versione di alto livello con spyware completo. Minaccia persistente (APT)."
In effetti, Thornton-Trump ha notato che se i ricercatori della sicurezza fossero black hat, potrebbero facilmente monetizzare questa ricerca per centinaia di migliaia di dollari. "Grazie all'eccellente lavoro e all'integrità dei ricercatori di Checkmarx, tutti gli utenti Android sono ora più sicuri", ha affermato.
Thornton-Trump è stato lieto che Google abbia rilasciato presto una patch, ma ha affermato che, a causa della gravità e dell'ampiezza della vulnerabilità, "è anche giunto il momento per Google di lasciare che alcune delle capacità del 'Progetto Zero' entrino in profondità nel sistema operativo Android stesso."
"Non c'è dubbio che il gran numero di vulnerabilità Android rivelate stia danneggiando il marchio Android. Anche il recente problema della "schermata bianca della morte" non è positivo per la reputazione dell'azienda. Google deve fare di più per garantire che gli utenti si fidino della sicurezza e della riservatezza di dispositivi Android Nel frattempo, chiunque abbia bisogno di protezione dovrebbe aggiornare immediatamente i propri sistemi", ha affermato. "Se non è possibile aggiornare il dispositivo a causa di un dispositivo obsoleto o della mancanza del supporto del produttore, è ora di acquistare un nuovo dispositivo. "