Skip to content
Natuurondernemer
    octubre 23, 2020 by admin

    Cómo los atacantes podrían secuestrar la cámara de tu Android para espiarte

    Cómo los atacantes podrían secuestrar la cámara de tu Android para espiarte
    octubre 23, 2020 by admin

    En la sociedad actual conectada digitalmente, los smartphones se han convertido en una extensión de nosotros. La cámara avanzada y las capacidades de vídeo, en particular, están jugando un papel masivo en esto, ya que los usuarios son capaces de sacar rápidamente sus teléfonos y capturar cualquier momento en tiempo real con el simple clic de un botón. Sin embargo, esto presenta un arma de doble filo, ya que estos dispositivos móviles están constantemente recopilando, almacenando y compartiendo varios tipos de datos -con y sin nuestro conocimiento-, lo que convierte a nuestros dispositivos en minas de oro para los atacantes.

    Para entender mejor cómo las cámaras de los smartphones pueden estar abriendo a los usuarios a los riesgos de privacidad, el equipo de investigación de seguridad de Checkmarx crackeó en las propias aplicaciones que controlan estas cámaras para identificar posibles escenarios de abuso. Teniendo un Google Pixel 2 XL y un Pixel 3 a mano, nuestro equipo comenzó a investigar la aplicación Google Camera , encontrando finalmente múltiples vulnerabilidades preocupantes derivadas de problemas de omisión de permisos. Después de investigar más a fondo, también descubrimos que estas mismas vulnerabilidades afectan a las aplicaciones de cámara de otros proveedores de teléfonos inteligentes en el ecosistema de Android – concretamente Samsung – presentando implicaciones significativas para cientos de millones de usuarios de teléfonos inteligentes.

    En este blog, explicaremos las vulnerabilidades descubiertas (CVE-2019-2234), proporcionaremos detalles de cómo fueron explotadas, explicaremos las consecuencias y señalaremos cómo los usuarios pueden salvaguardar sus dispositivos. Este blog también va acompañado de un vídeo de prueba de concepto (PoC), así como de un informe técnico de los hallazgos que se compartió con Google, Samsung y otros OEMs de smartphones basados en Android.

    Google & Vulnerabilidades de la cámara de Samsung

    Después de un análisis detallado de la aplicación de la cámara de Google, nuestro equipo encontró que mediante la manipulación de acciones e intenciones específicas , un atacante puede controlar la aplicación para tomar fotos y/o grabar videos a través de una aplicación falsa que no tiene permisos para hacerlo. Además, descubrimos que ciertos escenarios de ataque permiten a los actores maliciosos eludir varias políticas de permisos de almacenamiento, dándoles acceso a los vídeos y fotos almacenados, así como a los metadatos GPS incrustados en las fotos, para localizar al usuario tomando una foto o un vídeo y analizando los datos EXIF adecuados . Esta misma técnica también se aplicó a la aplicación de cámara de Samsung.

    Al hacerlo, nuestros investigadores determinaron una forma de permitir que una aplicación falsa forzara a las aplicaciones de cámara a tomar fotos y grabar vídeo, incluso si el teléfono está bloqueado o la pantalla está apagada. Nuestros investigadores pudieron hacer lo mismo incluso cuando un usuario estaba en medio de una llamada de voz.

    Las implicaciones

    La capacidad de una aplicación para recuperar la entrada de la cámara, el micrófono y la ubicación GPS es considerada altamente invasiva por la propia Google. Como resultado, AOSP creó un conjunto específico de permisos que una aplicación debe solicitar al usuario. Dado que este era el caso, los investigadores de Checkmarx diseñaron un escenario de ataque que sortea esta política de permisos abusando de la propia app Google Camera, obligándola a hacer el trabajo en nombre del atacante.

    Se sabe que las aplicaciones de cámara de Android suelen almacenar sus fotos y vídeos en la tarjeta SD. Dado que las fotos y los vídeos son información sensible del usuario, para que una aplicación pueda acceder a ellos necesita unos permisos especiales: los permisos de almacenamiento. Por desgracia, los permisos de almacenamiento son muy amplios y estos permisos dan acceso a toda la tarjeta SD. Hay un gran número de aplicaciones, con casos de uso legítimos, que solicitan acceso a este almacenamiento, pero no tienen especial interés en las fotos o los vídeos. De hecho, es uno de los permisos solicitados más comunes que se han observado.

    Esto significa que una aplicación fraudulenta puede tomar fotos y/o vídeos sin necesidad de permisos específicos para la cámara, y sólo necesita permisos de almacenamiento para dar un paso más y recuperar las fotos y vídeos después de haberlos tomado. Además, si la ubicación está habilitada en la aplicación de la cámara, la aplicación falsa también tiene una forma de acceder a la posición GPS actual del teléfono y del usuario.

    Por supuesto, un vídeo también contiene sonido. Fue interesante probar que se podía iniciar un vídeo durante una llamada de voz. Podíamos grabar fácilmente la voz del receptor durante la llamada y también podíamos grabar la voz del llamante.

    Una PoC de un escenario del peor caso

    Para demostrar adecuadamente lo peligroso que podría ser esto para los usuarios de Android, nuestro equipo de investigación diseñó e implementó una aplicación de prueba de concepto que no requiere ningún permiso especial más allá del permiso básico de almacenamiento. Simulando un atacante avanzado, la PoC tenía dos partes funcionales: la parte del cliente que representa una aplicación maliciosa que se ejecuta en un dispositivo Android, y una parte del servidor que representa el servidor de comando y control (C&C) de un atacante.

    La aplicación maliciosa que diseñamos para la demostración no era más que un simulacro de aplicación meteorológica que podría haber sido maliciosa por diseño. Cuando el cliente inicia la app, esencialmente crea una conexión persistente de vuelta al servidor C&C y espera comandos e instrucciones del atacante, que está operando la consola del servidor C&C desde cualquier parte del mundo. Ni siquiera el cierre de la aplicación pone fin a la conexión persistente.

    El operador de la consola de C&C puede ver qué dispositivos están conectados a ella, y realizar las siguientes acciones (entre otras):

    • Hacer una foto en el teléfono de la víctima y subirla (recuperarla) al servidor C&C
    • Grabar un vídeo en el teléfono de la víctima y subirlo (recuperarlo) al servidor C&C

      • .

    • Percibe todas las fotos más recientes en busca de etiquetas GPS y localiza el teléfono en un mapa global
    • Opera en modo oculto por el que el teléfono se silencia mientras toma fotos y graba vídeos
    • Espera una llamada de voz y graba automáticamente:
      • Vídeo del lado de la víctima
      • Audio de ambos lados de la conversación

      • Nota: La espera de una llamada de voz se implementó a través del sensor de proximidad del teléfono que puede detectar cuando el teléfono se mantiene en la oreja de la víctima. Un video de la explotación exitosa de las vulnerabilidades fue tomado por nuestro equipo de investigación y se puede ver aquí. Nuestro equipo probó ambas versiones de Pixel (2 XL / 3) en nuestros laboratorios de investigación y confirmó que las vulnerabilidades son relevantes para todos los modelos de teléfonos de Google.

      Vulnerabilidad de Android: Mira el vídeo explicativo

      Resumen de la divulgación y los eventos

      Cuando se descubrieron las vulnerabilidades por primera vez, nuestro equipo de investigación se aseguró de poder reproducir el proceso para explotarlas fácilmente. Una vez confirmado esto, el equipo de investigación de Checkmarx notificó responsablemente a Google sus hallazgos.

      Trabajando directamente con Google, notificaron a nuestro equipo de investigación y confirmaron nuestra sospecha de que las vulnerabilidades no eran específicas de la línea de productos Pixel. Google informó a nuestro equipo de investigación de que el impacto era mucho mayor y se extendía a todo el ecosistema de Android, con otros proveedores como Samsung que reconocieron que estos fallos también afectaban a sus aplicaciones de Cámara, y comenzaron a tomar medidas de mitigación.

      Respuesta de Google

      «Agradecemos a Checkmarx que nos haya llamado la atención y que haya trabajado con Google y los socios de Android para coordinar la divulgación. El problema se abordó en los dispositivos de Google impactados a través de una actualización de Play Store para la aplicación de la cámara de Google en julio de 2019. También se ha puesto a disposición de todos los socios un parche.»

      Recomendación de mitigación

      Para una mitigación adecuada y como mejor práctica general, asegúrese de actualizar todas las aplicaciones en su dispositivo.

      Línea de tiempo de la divulgación

      • 4 de julio de 2019 – Enviado un informe de vulnerabilidad al equipo de seguridad de Android en Google
      • 4 de julio de 2019 – Google confirmó la recepción del informe
      • 4 de julio de 2019 – Se envió una «app maliciosa» PoC a Google
      • 5 de julio, 2019 – Se envió a Google un vídeo PoC de un escenario de ataque
      • 13 de julio de 2019 – Google estableció la gravedad del hallazgo como «Moderada»
      • 18 de julio de 2019 – Envió más comentarios a Google
      • 23 de julio, 2019 – Google elevó la gravedad del hallazgo a «Alta»
      • 1 de agosto de 2019 – Google confirma nuestra sospecha de que las vulnerabilidades pueden afectar a otros proveedores de smartphones Android y emite la CVE-2019-2234
      • 18 de agosto, 2019 – Se contactó con múltiples proveedores en relación con las vulnerabilidades
      • El 29 de agosto de 2019 – Samsung confirmó que están afectados
      • Noviembre de 2019 – Tanto Google como Samsung aprobaron la publicación

          • Nota: Esta publicación se ha coordinado con Google y Samsung tras su confirmación de que se ha lanzado una corrección. Por favor, consulte a Google para obtener información sobre la versión corregida del sistema operativo Android y la aplicación Google Camera.

          Palabras finales

          La profesionalidad mostrada tanto por Google como por Samsung no pasa desapercibida. Fue un placer trabajar con ambos debido a su capacidad de respuesta, minuciosidad y puntualidad.

          Este tipo de actividad de investigación forma parte de nuestros esfuerzos continuos para impulsar los cambios necesarios en las prácticas de seguridad del software entre los proveedores que fabrican smartphones y dispositivos IoT de consumo, al tiempo que aportan una mayor conciencia de seguridad en medio de los consumidores que los compran y utilizan. La protección de la privacidad de los consumidores debe ser una prioridad para todos nosotros en el mundo actual, cada vez más conectado.

          Lee el informe completo, cuyo autor es Pedro Umbelino, investigador de seguridad senior, aquí.

          https://en.wikipedia.org/wiki/Google_Camera

          https://developer.android.com/guide/components/intents-filters

          https://en.wikipedia.org/wiki/Exif

          • Vulnerabilidad de Android
          • Conocimiento de la seguridad de las aplicaciones
          • Vulnerabilidades de seguridad de las aplicaciones
          • Checkmarx Security Research Team
          • Mobile App Security
          • exposición del software

          Erez Yalon

          Erez Yalon dirige el grupo de investigación de seguridad en Checkmarx. Con una amplia experiencia como defensor y atacante, y como investigador de seguridad independiente, aporta conocimientos y habilidades inestimables. Erez es responsable del mantenimiento de la tecnología de detección de vulnerabilidades de primer nivel de Checkmarx, donde entra en juego su experiencia previa de desarrollo con una variedad de lenguajes de codificación.

          Últimos posts de Erez Yalon

          La nube es nativa, pero la seguridad no: Cambia el enfoque de las pruebas de seguridad de tu aplicación – 18 de febrero de 2021
          La escalada de privilegios en Meetup.com permitió redirigir los pagos – 3 de agosto de 2020
          Se descubren vulnerabilidades de secuencias de comandos en sitios cruzados (mXSS) en Mozilla-Bleach – 8 de julio de 2020

    Previous articleGaraje Metro GreenNext article Frisco Adventure Park abre la colina de tubing

    Deja una respuesta Cancelar la respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Entradas recientes

    • Encontrarte a ti mismo (y a los demás…) en los anuarios online
    • Cómo configurar un minero ASIC de bitcoin
    • Chris Martin cumple años en Disneylandia con Dakota Johnson
    • ¿Qué es un sitio del Superfondo?
    • Los gusanos de la sangre con cebo de pesca tienen picaduras de abeja
    • 42 recetas de sopa de olla de cocción lenta saludables
    • 3 sorprendentes riesgos de una mala postura
    • Peces Betta hembra
    • ¿Qué son las corrientes oceánicas?
    • Nike se gastó 15.000 dólares en una máquina especial sólo para fabricar las zapatillas del pívot de Florida State Michael Ojo

    Archivos

    • abril 2021
    • marzo 2021
    • febrero 2021
    • enero 2021
    • diciembre 2020
    • noviembre 2020
    • octubre 2020
    • septiembre 2020
    • agosto 2020
    • julio 2020
    • junio 2020
    • mayo 2020
    • abril 2020
    • DeutschDeutsch
    • NederlandsNederlands
    • EspañolEspañol
    • FrançaisFrançais
    • PortuguêsPortuguês
    • ItalianoItaliano
    • PolskiPolski

    Meta

    • Acceder
    • Feed de entradas
    • Feed de comentarios
    • WordPress.org
    Posterity WordPress Theme