Une faille Android massive a rendu l'application Appareil photo vulnérable aux pirates de l'air

Les chercheurs en sécurité ont révélé une énorme vulnérabilité dans le système d'exploitation Android de Google qui aurait pu permettre aux pirates d'accéder aux photos et à l'appareil photo des utilisateurs à leur insu.

La vulnérabilité de l'application de l'appareil photo était potentiellement présente sur des centaines de millions de téléphones et de tablettes Android. La société de sécurité technique Checkmarx a mis en évidence les dangers de la faille en créant une preuve de concept application météo qui peut enregistrer des appels téléphoniques, prendre des photos et des images et envoyer toutes les données à une télécommande serveur.

Samsung et Google se sont coordonnés avec Checkmarx sur la divulgation du bogue. Le problème a touché les deux
Applications Appareil photo Google et Appareil photo Samsung. Google a publié un correctif pour la vulnérabilité, connu sous le nom de CVE-2019-2234, en juillet 2019.

Checkmarx a découvert qu'Android autorisait les applications à utiliser l'application Appareil photo et le contenu qui y était connecté alors qu'elles n'avaient que les autorisations « Stockage ». Les pirates auraient pu utiliser la faille pour prendre des photos, enregistrer des vidéos, extraire des données GPS à partir de photos et enregistrer automatiquement des appels téléphoniques. Voici une vidéo de l'équipe piratant la caméra Pixel.

Après avoir découvert le bogue sur les téléphones Pixel, l'équipe a ensuite vérifié d'autres téléphones Android et a découvert qu'il était également présent sur les appareils de Samsung.

« Nous apprécions que Checkmarx ait porté cela à notre attention et travaillé avec des partenaires Google et Android pour coordonner la divulgation. Le problème a été résolu sur les appareils Google concernés via une mise à jour Play Store de l'application Google Camera en juillet 2019. Un patch a également été mis à disposition de tous les partenaires.