Os aplicativos de câmera dos telefones do Google e da Samsung foram expostos a sérias falhas de segurança que podem ser usadas por hackers para espionar centenas de milhões de usuários. Por meio da vulnerabilidade, os hackers podem usar o telefone da vítima para tirar fotos, gravar vídeos, gravar chamadas de voz e até rastrear a localização do usuário. O telefone ainda é seguro? Venha para o círculo de amigos Xinzhiyuan AI para discutir com celebridades AI. Você pode estar sendo observado o tempo todo sem saber quem está assistindo.
As câmeras foram atualizadas de um complemento para um telefone para uma maneira de documentar a vida. De frente para a floresta de ginkgo dourado, a primeira neve nos galhos e o hot pot reunindo com os amigos, todos pegamos nossos celulares, ligamos a câmera para tirar fotos ou gravar vlogs, que se tornaram os canais para assistirmos, gravar e expressar o mundo.
Mas se a câmera do seu telefone foi ligada para monitorar sua vida sem você perceber, este pode ser o mundo moderno de Truman.
Agora isso se, há uma pequena possibilidade de se tornar uma realidade. De acordo com relatos da mídia, a equipe de pesquisa de segurança da Checkmarx descobriu uma vulnerabilidade em telefones Android. Os invasores podem ignorar as permissões do Android acessando o espaço de armazenamento do telefone e podem controlar remotamente o telefone para tirar fotos e gravar remotamente sem o consentimento do usuário. Vídeo, monitorar conversas.
A equipe de pesquisa diz que há brechas quando há brechas? É alarmista? Primeiro, vamos dar uma olhada no que está por trás da equipe de pesquisa de segurança da Checkmarx.
A Checkmarx é uma empresa israelense de software de alta tecnologia e produtora do Checkmarx CxSuite, o software de verificação de segurança de código-fonte mais famoso do mundo. A Checkmarx foi indicada como Líder no Gartner Magic Quadrant de 2019 para testes de segurança de aplicativos, ganhou o prêmio Infosec 2019 da Cyber Defense Magazine na categoria Líder de mercado em segurança de aplicativos e ganhou o prêmio de solução de segurança de aplicativos do ano.
A pesquisa de vulnerabilidade de software de ponta de sua equipe de pesquisa de segurança no Alexa, Tinder, LeapFrog LeapPad e outros produtos da Amazon foi relatada por meios de comunicação conhecidos, como "Good Morning America", "Consumer Reports" e "Fortune", atraindo a atenção da indústria.
Desta vez, a equipe de pesquisa de segurança da Checkmarx descobriu várias vulnerabilidades no aplicativo Google Camera (Google Camera) nos telefones Google Pixel 2XL e Pixel 3 devido a problemas que permitem que invasores ignorem as permissões do usuário. Além disso, a câmera da Samsung também possui essa vulnerabilidade.
Anteriormente, a equipe de pesquisa também divulgou que Alexa e Tinder, da Amazon, têm esse problema. Considerando apenas o alcance dos telefones Google e Samsung, essas vulnerabilidades podem afetar centenas de milhões de usuários ou até ameaçá-los.
A vulnerabilidade, apelidada de CVE-2019-2234, permite que um aplicativo malicioso obtenha remotamente a entrada de dados de câmera, microfone e localização GPS. As implicações de poder fazer isso são tão graves que o Android Open Source Project (AOSP) tem um conjunto dedicado de permissões que qualquer aplicativo deve solicitar e obter permissão do usuário antes de habilitar tais operações.
O que os pesquisadores da Checkmarx fizeram foi criar um cenário de ataque que abusava do próprio aplicativo Google Camera para contornar essas permissões. Para isso, eles criaram um aplicativo malicioso que explora uma das permissões mais solicitadas: o acesso ao armazenamento.
A permissão solicitada pelo aplicativo malicioso é apenas 'acesso ao armazenamento'
"Este aplicativo malicioso rodando em um smartphone Android pode ler o cartão SD", disse Yalon. "Ele pode não apenas acessar fotos e vídeos anteriores, mas também explorar essa nova tire novas fotos e vídeos à vontade."
O aplicativo malicioso inicia silenciosamente a gravação de vídeo do telefone
O aplicativo malicioso grava as chamadas remotamente
Como os invasores podem explorar vulnerabilidades no aplicativo Câmera do Google?
A Checkmarx criou uma exploração de prova de conceito (PoC) desenvolvendo um aplicativo malicioso. Este é um aplicativo de clima que sempre foi popular na Google Play Store. Além das permissões básicas de acesso ao armazenamento, este aplicativo não requer permissões especiais. É improvável que o aplicativo alarme o usuário, pois apenas uma permissão tão simples e comum precisa ser solicitada. Afinal, as pessoas estão acostumadas a questionar solicitações de permissão amplas e desnecessárias, e não uma única solicitação de permissão comum.
No entanto, este aplicativo está longe de ser inofensivo. Ele é dividido em duas partes, um aplicativo cliente que roda no smartphone e um servidor de comando e controle que se conecta a ele para executar os comandos do invasor.
Depois que o aplicativo é instalado e iniciado, ele cria uma conexão persistente com o servidor de comando e controle e aguarda as instruções. Fechar o aplicativo não fecha a conexão do servidor.
Quais comandos um invasor pode enviar e quais ações podem resultar? Esta longa lista pode fazer você estremecer:
A informação foi divulgada conjuntamente pelo Google e pela Samsung nos últimos dias para garantir que ambas as empresas tenham lançado patches para a vulnerabilidade. A divulgação da vulnerabilidade, no entanto, começou em 4 de julho, quando a Checkmarx enviou um relatório de vulnerabilidade para a equipe de segurança Android do Google, que iniciou a divulgação dos bastidores.
Em 13 de julho, o Google inicialmente definiu a gravidade da vulnerabilidade como média, mas após mais comentários da Checkmarx, a gravidade foi rebaixada para "alta" em 23 de julho.
Em 1º de agosto, o Google confirmou que as vulnerabilidades afetaram o ecossistema Android mais amplo, com outros fabricantes de smartphones também afetados, e emitiu o CVE-2019-2234.
Em 18 de agosto, o Google entrou em contato com vários fornecedores; em 29 de agosto, a Samsung confirmou que a vulnerabilidade afetava seus dispositivos.
Google responde que forneceu um patch, especialistas em segurança: 'É simplesmente de cair o queixo'
Google responde: Patches foram fornecidos a todos os parceiros
Após ser contatado pela mídia, um porta-voz disse: "Agradecemos à Checkmarx por nos alertar sobre essa vulnerabilidade e trabalhar com parceiros do Google e do Android para coordenar a divulgação. Via Google Play Store lançado em julho de 2019. Uma atualização para a câmera app resolveu o problema nos telefones do Google afetados. Também disponibilizamos o patch para todos os parceiros."
No entanto, a divulgação da vulnerabilidade foi adiada até que o Google e a Samsung lançassem patches, portanto, se você tiver a versão mais recente do aplicativo da câmera, certifique-se de atualizar para a versão mais recente para evitar a ameaça de um ataque.
Além disso, atualize para a versão mais recente do sistema operacional Android, certifique-se de que seu telefone tenha os patches de segurança mais recentes disponíveis e recomende o uso da versão mais recente do aplicativo da câmera para o seu dispositivo para reduzir o risco.
O que os especialistas em segurança têm a dizer sobre a gravidade da vulnerabilidade e como ela afetará a segurança mais ampla do smartphone.
Thornton-Trump disse: "Meu queixo caiu quando li este relatório sobre o quão vulnerável é o aplicativo da câmera. Não soa como um bug, mas mais como uma versão de alto nível com spyware completo. Ameaça Persistente (APT)."
Na verdade, Thornton-Trump percebeu que, se os pesquisadores de segurança fossem chapéus pretos, eles poderiam facilmente monetizar essa pesquisa por centenas de milhares de dólares. "Graças ao grande trabalho e integridade dos pesquisadores da Checkmarx, todos os usuários do Android estão agora mais seguros", disse ele.
Thornton-Trump ficou satisfeito que o Google lançou um patch em breve, mas disse que, devido à gravidade e amplitude da vulnerabilidade, "também é hora de o Google permitir que alguns dos recursos do 'Project Zero' se aprofundem no próprio sistema operacional Android.."
"Não há dúvida de que o alto volume de vulnerabilidades do Android divulgadas está prejudicando a marca Android. A recente questão da 'tela branca da morte' também não é boa para a reputação da empresa. O Google precisa fazer mais para garantir que os usuários confiem na segurança e confidencialidade de dispositivos Android Enquanto isso, qualquer pessoa que precise de proteção deve atualizar seus sistemas imediatamente", disse ele. "Se você não pode atualizar seu dispositivo porque está envelhecido ou não tem suporte do fabricante, é hora de comprar um novo dispositivo."