Google Camera, bug critico potrebbe consentire a terzi di spiarci in segreto

Google Camera, bug critico potrebbe consentire a terzi di spiarci in segreto

Una società di sicurezza ha divulgato la presenza di un bug critico su Android, che ha coinvolto nello specifico l'app Google Camera. Google ha confermato l'esistenza del problema, sottolineando però che è stato risolto lo scorso mese di Luglio

di pubblicata il , alle 11:21 nel canale Telefonia
GoogleAndroid
 

Google ha confermato la presenza di una vulnerabilità che rende possibile ad eventuali aggressori di sfruttare la fotocamera di un dispositivo Android per registrare video o scattare foto con la stessa, anche quando lo smartphone è bloccato o lo schermo è spento. La falla, documentata nel bollettino CVE-2019-2234, è stata scoperta dai ricercatori di Checkmarx e ha sfruttato, fino allo scorso luglio, bug presenti nel sistema di permessi della Google Camera.

Google News

L'exploit può essere replicato sui dispositivi Pixel, ma non solo. In seguito alla prima divulgazione si è scoperto che il bug è stato attivo anche sui dispositivi Samsung, o di altri produttori. I ricercatori hanno segnalato:

"Un aggressore può controllare l'app per scattare foto e/o registrare video attraverso un'app rogue che non ha i permessi per fare ciò. In aggiunta, abbiamo scoperto che alcuni attacchi eseguibili in determinate condizioni possono permettere agli attori malevoli di eludere le politiche di permessi sull'archiviazione nel terminale, dando loro l'accesso ai video e alle foto immagazzinati, come ai metadati GPS integrati nelle foto, per localizzare l'utente scattando una foto o registrando un video e analizzando i dati EXIF presenti".

Checkmarx ha inoltre pubblicato un video proof-of-concept che mostra in azione l'esecuzione dell'attacco. In seguito alla divulgazione del bug, Google ha confermato il problema ringraziando la società di sicurezza per il lavoro svolto, e la buona notizia è che l'azienda ha già corretto il problema dallo scorso mese di luglio:

"Ringraziamo Checkmarx che ha portato alla nostra attenzione la presenza del bug e ha lavorato con i partner di Google e Android per coordinare i lavori di divulgazione" - ha scritto Google in una nota - "Il problema è stato corretto sui dispositivi Google interessati attraverso un aggiornamento via Play Store sull'app Google Camera lo scorso mese di Luglio. Una patch è stata resa disponibile anche a tutti i nostri partner".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
300020 Novembre 2019, 11:25 #1
Nastro isolante nero su entrambe le camere.
rob-roy20 Novembre 2019, 11:55 #2
e mi raccomando la stagnola in testa
Perseverance20 Novembre 2019, 13:42 #3
Ma c'hanno gli accordi coi servizi segreti, ma che ancora credete a ste cavolate? Backdoor trojan falle sono ben note e messe di proposito per consentire alle forze dell'ordine di poter accedere al dispositivo dell'utente target e prendere così le intercettazioni telematiche: tutto foto video messaggistica chiamate...

Ma se google è d'accordo e inocula di proposito insieme ai servizi segreti il malware con controllo IMEI nelle app bersaglio?

Il problema non è se lo fanno o no. Lo fanno di sicuro. Il problema diventa quando lo hanno fatto ad esempio contro Giulio Regeni. Finché si usano queste falle per combattere il crimine è un conto, quando invece sfugge di mano il controllo si usano per scopi osceni.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^