Encuentran grave vulnerabilidad en aplicación de cámara Android

Expertos en seguridad han encontrado una nueva vulnerabilidad en el sistema Android que afecta directamente a la cámara, ya que esta podría permitir que otras aplicaciones tomen fotos y graben videos y además extraigan datos GPS de los medios sin tener los permisos necesarios.

Este grave problema de seguridad podría estar afectando a cientos de millones de usuarios del sistema alrededor del mundo y, según los investigadores pertenecientes a Checkmarx, la vulnerabilidad sería una de las más graves que ha afectado al sistema creado por Google.

Recordemos que varias aplicaciones en el sistema Android traen varias actividades que en muchas ocasiones se ejecutan por detrás, como por ejemplo, trabajar en segundo plano o ejecutar otras apps en el sistema, pero sin duda el tomar una foto o grabar un video es algo que nadie quiere que se haga sin permiso.

Vulnerabilidad Android

La vulnerabilidad ha sido denominada como CVE-2019-2234 y específicamente se encuentra afectando a las aplicaciones de Google Camera y Samsung Camera, si es que estas no se han actualizado desde el mes de julio de 2019.

Los investigadores pertenecientes a la firma de seguridad Checkmarx se dedicaron a investigar la aplicación de Google Pixel’s camera, en la que lograron descubrir que existen numerosas funciones las cuales, al ser mal llevadas, podrían combinarse y con esto manipular finalmente la cámara del dispositivo, para así grabar videos y tomar fotos sin permiso del los usuarios.

Como es de costumbre, una App de cámara debe tener los permisos Android.permission.CAMERA, android.permission.RECORD_AUDIO, android.permission.ACCESS_FINE_LOCATION y finalmente android.permission.ACCESS_COARSE_LOCATION, los cuales son los encargados de permitir que una app tome fotos, grabe videos y acceda a la ubicación GPS del dispositivo.

La investigación de Checkmarx logro descubrir que todas las app que otorgan el permiso de «almacenamiento», el cual entrega acceso directo a la aplicación de tarjeta SD más otros medios almacenados en el móvil, es la que entrega el permiso a la aplicación para usar los propósitos expuestos sin los permisos correspondientes actualmente.

Cámara Android grabando sin permiso

Según la firma de seguridad, esto es realmente problemático debido a que son muchas las aplicaciones que actualmente solicitan este permiso de almacenamiento, como los juegos de carrera, servicios para la transmisión como también apps relacionadas con el tiempo.

Es más, según Checkmarx estos son los permisos más comunes solicitados actualmente en el ecosistema Android, por lo que existe una gran cantidad de apps que, con usos legítimos, solicitan accesos a este almacenamiento, pero no tienen mayores intereses en grabar fotos y videos.

En resumen, esta nueva vulnerabilidad del sistema es grave ya que permite que apps que normalmente no tienen permiso tomen fotos y videos aunque el móvil este bloqueado, utilicen los datos de ubicación GPS, escuchen conversaciones, silencie el obturador para que el usuarios no sientan la fotografía.

La firma de seguridad reveló además que, Google había descubierto esta vulnerabilidad el pasado mes de julio y durante el día 23 del mismo mes elevó su grado a «alta». Durante el mes de agosto identificó que la cámara Samsung también estaba afectada y ambas compañías aprobaron la publicación de esta vulnerabilidad.

Sin embargo, la compañía de Silicon Valley afirmó que este error fue corregido a mediados de este año, pero desde la firma de seguridad recomiendan a los usuarios que se actualicen a la última versión de Android y se aseguren que la app de cámara de su equipo esté ejecutando su última versión.