Skip to content
Natuurondernemer
    octobre 23, 2020 by admin

    Comment les attaquants pourraient détourner votre caméra Android pour vous espionner

    Comment les attaquants pourraient détourner votre caméra Android pour vous espionner
    octobre 23, 2020 by admin

    Dans la société numériquement connectée d’aujourd’hui, les smartphones sont devenus une extension de nous. Les capacités avancées en matière d’appareil photo et de vidéo, en particulier, jouent un rôle massif à cet égard, car les utilisateurs sont en mesure de sortir rapidement leurs téléphones et de capturer n’importe quel moment en temps réel d’un simple clic sur un bouton. Cependant, cela présente une arme à double tranchant, car ces appareils mobiles collectent, stockent et partagent constamment divers types de données – à notre insu ou non – ce qui fait de nos appareils des mines d’or pour les attaquants.

    Afin de mieux comprendre comment les caméras des smartphones peuvent ouvrir les utilisateurs à des risques pour la vie privée, l’équipe de recherche en sécurité de Checkmarx s’est fendue des applications elles-mêmes qui contrôlent ces caméras pour identifier les scénarios d’abus potentiels. Disposant d’un Google Pixel 2 XL et d’un Pixel 3, notre équipe a commencé à faire des recherches sur l’application Google Camera , pour finalement trouver de multiples vulnérabilités préoccupantes découlant de problèmes de contournement des autorisations. Après avoir creusé davantage, nous avons également découvert que ces mêmes vulnérabilités ont un impact sur les apps caméra d’autres fournisseurs de smartphones dans l’écosystème Android – à savoir Samsung – présentant des implications importantes pour des centaines de millions d’utilisateurs de smartphones.

    Dans ce blog, nous expliquerons les vulnérabilités découvertes (CVE-2019-2234), fournirons des détails sur la façon dont elles ont été exploitées, expliquerons les conséquences et noterons comment les utilisateurs peuvent sauvegarder leurs appareils. Ce blog est également accompagné d’une vidéo de preuve de concept (PoC), ainsi que d’un rapport technique des résultats qui ont été partagés avec Google, Samsung et d’autres équipementiers de smartphones sous Android.

    Vulnérabilités de l’appareil photo Google & Samsung

    Après une analyse détaillée de l’application Google Camera, notre équipe a constaté qu’en manipulant des actions et des intentions spécifiques , un attaquant peut contrôler l’application pour prendre des photos et/ou enregistrer des vidéos par le biais d’une application malveillante qui n’a pas les autorisations nécessaires pour le faire. En outre, nous avons constaté que certains scénarios d’attaque permettent aux acteurs malveillants de contourner diverses politiques d’autorisation de stockage, ce qui leur donne accès aux vidéos et aux photos stockées, ainsi qu’aux métadonnées GPS intégrées aux photos, pour localiser l’utilisateur en prenant une photo ou une vidéo et en analysant les données EXIF appropriées . Cette même technique s’appliquait également à l’app Appareil photo de Samsung.

    Ce faisant, nos chercheurs ont déterminé un moyen de permettre à une application malveillante de forcer les apps Appareil photo à prendre des photos et à enregistrer des vidéos, même si le téléphone est verrouillé ou si l’écran est éteint. Nos chercheurs ont pu faire la même chose même lorsqu’un utilisateur était est au milieu d’un appel vocal.

    Les implications

    La possibilité pour une application de récupérer les entrées de la caméra, du microphone et de la localisation GPS est considérée comme très invasive par Google eux-mêmes. Par conséquent, l’AOSP a créé un ensemble spécifique de permissions qu’une application doit demander à l’utilisateur. Comme c’était le cas, les chercheurs de Checkmarx ont conçu un scénario d’attaque qui contourne cette politique de permission en abusant de l’application Google Camera elle-même, la forçant à faire le travail pour le compte de l’attaquant.

    Il est connu que les applications de caméra Android stockent généralement leurs photos et vidéos sur la carte SD. Comme les photos et les vidéos sont des informations sensibles de l’utilisateur, pour qu’une application puisse y accéder, elle a besoin de permissions spéciales : les permissions de stockage. Malheureusement, les permissions de stockage sont très larges et ces permissions donnent accès à l’ensemble de la carte SD. Il existe un grand nombre d’applications, avec des cas d’utilisation légitimes, qui demandent l’accès à ce stockage, mais qui n’ont aucun intérêt particulier pour les photos ou les vidéos. En fait, c’est l’une des autorisations demandées les plus couramment observées.

    Cela signifie qu’une application malveillante peut prendre des photos et/ou des vidéos sans autorisations spécifiques à l’appareil photo, et qu’elle n’a besoin que des autorisations de stockage pour aller plus loin et récupérer les photos et les vidéos après leur prise. De plus, si la localisation est activée dans l’application appareil photo, l’application malveillante a également un moyen d’accéder à la position GPS actuelle du téléphone et de l’utilisateur.

    Bien sûr, une vidéo contient également du son. Il était intéressant de prouver qu’une vidéo pouvait être lancée pendant un appel vocal. Nous pouvions facilement enregistrer la voix du récepteur pendant l’appel et nous pouvions également enregistrer la voix de l’appelant.

    Une preuve de concept d’un scénario catastrophe

    Pour bien démontrer à quel point cela pourrait être dangereux pour les utilisateurs d’Android, notre équipe de recherche a conçu et mis en œuvre une application de preuve de concept qui ne nécessite aucune permission spéciale au-delà de la permission de stockage de base. Simulant un attaquant avancé, la PoC comportait deux parties fonctionnelles : la partie client qui représente une application malveillante exécutée sur un appareil Android, et une partie serveur qui représente le serveur de commande et de contrôle (C&C) d’un attaquant.

    L’application malveillante que nous avons conçue pour la démonstration n’était rien de plus qu’une maquette d’application météo qui aurait pu être malveillante par conception. Lorsque le client lance l’app, elle crée essentiellement une connexion persistante de retour au serveur C&C et attend les commandes et les instructions de l’attaquant, qui exploite la console du serveur C&C depuis n’importe où dans le monde. Même la fermeture de l’appli ne met pas fin à la connexion persistante.

    L’opérateur de la console C&C peut voir quels appareils y sont connectés et effectuer les actions suivantes (entre autres) :

    • Prendre une photo sur le téléphone de la victime et la télécharger (récupérer) sur le serveur C&C
    • Enregistrer une vidéo sur le téléphone de la victime et la télécharger (récupérer) sur le serveur C&C

      • .

    • Pser toutes les dernières photos pour les balises GPS et localiser le téléphone sur une carte mondiale
    • Fonctionner en mode furtif par lequel le téléphone est réduit au silence pendant la prise de photos et l’enregistrement de vidéos
    • Attendre un appel vocal et enregistrer automatiquement :
      • Vidéo du côté de la victime
      • Audio des deux côtés de la conversation

    Note : L’attente d’un appel vocal a été mise en œuvre via le capteur de proximité du téléphone qui peut détecter quand le téléphone est tenu à l’oreille de la victime. Une vidéo de l’exploitation réussie des vulnérabilités a été prise par notre équipe de recherche et peut être consultée ici. Notre équipe a testé les deux versions du Pixel (2 XL / 3) dans nos laboratoires de recherche et a confirmé que les vulnérabilités concernent tous les modèles de téléphones Google.

    Vulnérabilité Android : Regardez la vidéo explicative

    Résumé de la divulgation et des événements

    Lorsque les vulnérabilités ont été découvertes, notre équipe de recherche s’est assurée qu’elle pouvait reproduire le processus permettant de les exploiter facilement. Une fois que cela a été confirmé, l’équipe de recherche de Checkmarx a notifié de manière responsable ses conclusions à Google.

    En travaillant directement avec Google, ils ont notifié notre équipe de recherche et ont confirmé nos soupçons que les vulnérabilités n’étaient pas spécifiques à la gamme de produits Pixel. Google a informé notre équipe de recherche que l’impact était beaucoup plus important et s’étendait à l’ensemble de l’écosystème Android, avec des fournisseurs supplémentaires tels que Samsung reconnaissant que ces failles ont également un impact sur leurs applications Appareil photo, et a commencé à prendre des mesures d’atténuation.

    Réponse de Google

    « Nous apprécions que Checkmarx attire notre attention sur ce point et travaille avec Google et les partenaires Android pour coordonner la divulgation. Le problème a été résolu sur les appareils Google impactés via une mise à jour Play Store de l’application Google Camera en juillet 2019. Un correctif a également été mis à la disposition de tous les partenaires. »

    Recommandation d’atténuation

    Pour une atténuation appropriée et en tant que meilleure pratique générale, assurez-vous de mettre à jour toutes les applications sur votre appareil.

    Timeline de la divulgation

    • 4 juillet 2019 – Soumission d’un rapport de vulnérabilité à l’équipe de sécurité d’Android chez Google
    • 4 juillet 2019 – Google a confirmé avoir reçu le rapport
    • 4 juillet 2019 – Un PoC  » application malveillante  » a été envoyé à Google
    • 5 juillet, 2019 – Une vidéo PoC d’un scénario d’attaque a été envoyée à Google
    • 13 juillet 2019 – Google a défini la gravité de la constatation comme « modérée »
    • 18 juillet 2019 – Envoi de commentaires supplémentaires à Google
    • 23 juillet, 2019 – Google a augmenté la gravité de la constatation à « Élevé »
    • 1er août 2019 – Google confirme notre soupçon que les vulnérabilités peuvent affecter d’autres fournisseurs de smartphones Android et publie CVE-2019-2234
    • 18 août, 2019 – Plusieurs fournisseurs ont été contactés au sujet des vulnérabilités
    • 29 août 2019 – Samsung a confirmé être affecté
    • Nov 2019 – Google et Samsung ont approuvé la publication

    Note : Cette publication a été coordonnée avec Google et Samsung après leur confirmation de la publication d’un correctif. Veuillez vous référer à Google pour obtenir des informations concernant la version corrigée du système d’exploitation Android et de l’application Google Camera.

    Mots finaux

    Le professionnalisme dont ont fait preuve Google et Samsung ne passe pas inaperçu. Ce fut un plaisir de travailler avec les deux en raison de leur réactivité, de leur rigueur et de leur respect des délais.

    Ce type d’activité de recherche s’inscrit dans le cadre de nos efforts continus pour susciter les changements nécessaires dans les pratiques de sécurité logicielle chez les fournisseurs qui fabriquent des smartphones et des appareils IoT grand public, tout en apportant une plus grande sensibilisation à la sécurité au sein des consommateurs qui les achètent et les utilisent. La protection de la vie privée des consommateurs doit être une priorité pour nous tous dans le monde de plus en plus connecté d’aujourd’hui.

    Lisez le rapport complet, rédigé par Pedro Umbelino, chercheur principal en sécurité, ici.

    https://en.wikipedia.org/wiki/Google_Camera

    https://developer.android.com/guide/components/intents-filters

    https://en.wikipedia.org/wiki/Exif

      .

    • Vulnérabilité d’Android
    • Sensibilisation à la sécurité des applications
    • Vulnérabilités de la sécurité des applications
    • Checkmarx. Security Research Team
    • Sécurité des applications mobiles
    • Exposition des logiciels

    Erez Yalon

    Erez Yalon dirige le groupe de recherche en sécurité chez Checkmarx. Avec une vaste expérience de défenseur et d’attaquant et en tant que chercheur indépendant en sécurité, il apporte des connaissances et des compétences inestimables à la table. Erez est responsable de la maintenance de la technologie de détection des vulnérabilités de premier ordre de Checkmarx, où son expérience antérieure de développement avec une variété de langages de codage entre en jeu.

    Latest posts by Erez Yalon

    Le cloud est natif, mais pas la sécurité : Changez l’approche des tests de sécurité de vos applications – 18 février 2021
    Une escalade de privilèges sur Meetup.com a permis de rediriger des paiements – 3 août 2020
    Des vulnérabilités de type Mutation Cross-Site Scripting (mXSS) ont été découvertes dans Mozilla-Bleach – 8 juillet 2020

    .

    Previous articleMetro Green GarageNext article Le Frisco Adventure Park ouvre une colline de tubing

    Laisser un commentaire Annuler la réponse

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    Articles récents

    • Comment configurer un mineur ASIC de bitcoin
    • Qu’est-ce qu’un site Superfund?
    • Les vers de sang appâtés par la pêche ont des piqûres d’abeilles
    • Echolalie : Les faits au-delà du « langage de perroquet », du script et de l’écho
    • Citations de Lord of the Flies
    • Guide du débutant pour le pegging
    • 42 Recettes de soupes à la mijoteuse saines
    • 3 risques surprenants d’une mauvaise posture
    • Biographie de Tina Fey
    • Qu’est-ce que les courants océaniques ?

    Archives

    • avril 2021
    • mars 2021
    • février 2021
    • janvier 2021
    • décembre 2020
    • novembre 2020
    • octobre 2020
    • septembre 2020
    • août 2020
    • juillet 2020
    • juin 2020
    • mai 2020
    • avril 2020
    • DeutschDeutsch
    • NederlandsNederlands
    • EspañolEspañol
    • FrançaisFrançais
    • PortuguêsPortuguês
    • ItalianoItaliano
    • PolskiPolski

    Méta

    • Connexion
    • Flux des publications
    • Flux des commentaires
    • Site de WordPress-FR
    Posterity WordPress Theme