fbpx
ActualitéAndroidAppsGoogleHigh TechMobileSécurité

Un bug dans Google Camera mettait les utilisateurs d’Android au risque d’être enregistré secrètement

Pas question de laisser Facebook aller de l’avant, Google a dévoilé une vulnérabilité dans Android qui permettait aux pirates informatiques de détourner votre appareil photo, de capturer en secret des photos et d’enregistrer des images, même lorsque le téléphone était verrouillé ou l’écran éteint.

Le bogue, découvert par les chercheurs de Checkmarx, provient de problèmes de contournement des autorisations dans l’application Google Camera. Le problème (enregistré sous la référence CVE-2019-2234) touchait les téléphones Pixel, mais se répercutait davantage sur les appareils de Samsung et d’autres fabricants.

«Un attaquant peut contrôler l’application pour prendre des photos et / ou enregistrer des vidéos via une application non autorisée qui n’a pas l’autorisation de le faire», écrivent les chercheurs. «De plus, nous avons constaté que certains scénarios d’attaque permettent aux acteurs malveillants de contourner diverses règles d’autorisation de stockage, en leur donnant accès aux vidéos et aux photos stockées, ainsi qu’aux métadonnées GPS incorporées dans les photos, pour localiser l’utilisateur en prenant une photo ou une vidéo et en analysant le contenu. données EXIF appropriées.

L’entreprise de sécurité a présenté une preuve de concept de l’attaque dans une vidéo téléchargée sur YouTube.

Depuis, Google a confirmé le problème, remerciant les chercheurs pour leur travail. La bonne chose est que le virus a déjà été corrigé.

« Nous apprécions que Checkmarx nous le signale et travaille avec les partenaires de Google et Android pour coordonner la divulgation », a déclaré la société dans un communiqué. « Le problème a été résolu sur les appareils Google impactés via une mise à jour de Play Store vers l’application Google Camera en juillet 2019. Un correctif a également été mis à la disposition de tous les partenaires. »

Néanmoins, les chercheurs de Google Project Zero devraient peut-être faire une pause dans la recherche de bogues dans iOS pour résoudre leurs problèmes de sécurité, pour que les autres n’aient pas à le faire.

via CyberScoop

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page