Google Camera, bug crĂ­tico pode permitir que terceiros nos espionem secretamente

Google confirmou a presença de uma vulnerabilidade que permite aos invasores explorar a cùmera de um dispositivo Android para gravar vídeos ou tirar fotos com ele, mesmo quando o smartphone estå bloqueado ou a tela estå desligada. A falha, documentada no boletim CVE-2019-2234, foi descoberto por pesquisadores de Checkmarx e explorou, até julho passado, bugs no sistema de permissão do Cùmera do Google.

notĂ­cias do Google

A exploração pode ser replicada em dispositivos Pixel, mas não apenas. Após a primeira divulgação, foi descoberto que o bug também estava ativo em dispositivos Samsung ou outros fabricantes. Os pesquisadores relataram:

“Um invasor pode controlar o aplicativo para tirar fotos e / ou gravar vĂ­deos por meio de um aplicativo nĂŁo autorizado que nĂŁo tem permissĂŁo para fazer isso. AlĂ©m disso, descobrimos que alguns ataques que podem ser realizados sob determinadas condiçÔes podem permitir que agentes mal-intencionados evitem o polĂ­ticas de permissĂŁo de armazenamento no terminal, fornecendo acesso a vĂ­deos e fotos armazenados, como metadados de GPS integrados Ă s fotos, para localizar o usuĂĄrio tirando uma foto ou gravando um vĂ­deo e analisando os dados EXIF ​​presentes “.

A Checkmarx também divulgou um vídeo de prova de conceito mostrando a execução do ataque em ação. Após a divulgação do bug, O Google confirmou o problema agradecendo à empresa de segurança pelo trabalho realizado e pelas boas notícias de que a empresa jå corrigiu o problema desde julho do ano passado:

“Agradecemos Ă  Checkmarx que chamou a atenção do bug e trabalhou com os parceiros do Google e Android para coordenar o trabalho de divulgação” – escreveu o Google em uma nota – “O problema foi corrigido nos dispositivos afetados do Google por meio de uma atualização via Play Store no aplicativo Google Camera em julho passado. TambĂ©m foi disponibilizado um patch para todos os nossos parceiros “.