Mistake de cámara de Android bajo el microscopio



La vulnerabilidad crítica de Android CVE-2019-2234 podría permitir a los atacantes tomar el control de la cámara de una víctima y tomar fotos, grabar movies y conocer la ubicación.

Antes de que se parcheara el año pasado, la vulnerabilidad crítica de Android CVE-2020-2234 podría haber dado a los atacantes los medios para acceder a la aplicación de la cámara en algunos teléfonos inteligentes de proveedores como Google y Samsung. Un delincuente podría aprovechar esto para tomar fotos, grabar movies y audio, o conocer la ubicación de la víctima sin su conocimiento o consentimiento.

Esta vulnerabilidad podría explotarse incluso si el teléfono estuviera bloqueado, la pantalla apagada o si la persona estaba en una llamada, explicó Erez Yalon, director de investigación de seguridad de Checkmarx, donde un equipo de investigadores descubrió la falla el verano pasado. Yalon ofreció la perspectiva de un hacker de descubrir e informar sobre la falla en una charla en el Black Hat Asia virtual de este año.

Comenzó su discusión sobre la vulnerabilidad de omisión de permisos con un basic comando para el asistente own (PA) de Google: «Tome una selfie», dijo.

Estos comandos tienen dos tipos de intención: la «intención explícita» exige una acción específica por parte de una aplicación específica. Este comando tenía «intención implícita», lo que significa que cuando un usuario da voz al comando, una aplicación lo interpretará y actuará en consecuencia. En este caso, el PA estableció la intención de una selfie la aplicación de la cámara lo capturó y abrió la cámara.

Debido a que esto implica la comunicación entre aplicaciones, deben existir algunos permisos para que se desarrolle. «El propósito de los permisos es proteger la privacidad de un usuario de Android, y las aplicaciones de Android deben solicitar permiso para acceder a ciertas funciones del sistema, como la cámara e Net», dijo.

Hay varios pasos que un desarrollador debe seguir para garantizar que se implementen los permisos: deben declarar la necesidad de permisos y luego verificar si se otorgan los permisos. Si no es así, deben solicitar acceso a la cámara, los contactos o lo que necesite la aplicación. Para descubrir este mistake, los investigadores tuvieron que investigar para saber dónde se deberían haber habilitado los permisos pero no.

Encontrar el defecto

El primer paso para encontrar un agujero en cualquier sistema suele ser enraizar una gran cantidad de código, explicó Yalon. En este caso, comenzaron analizando las actividades exportadas, que son actividades que se pueden llamar y hacer coincidir con una intención. Cada actividad tiene varios atributos sin embargo, la exportación «verdadera» o «falsa» indicará si una actividad en certain será exportada o no, dijo.

La aplicación de la cámara de Google proporcionó muchas actividades exportadas, lo cual tiene sentido porque interactúa con varias aplicaciones diferentes, continuó. Yalon y su equipo de investigadores investigaron más y notaron que estas actividades estaban asignadas a diferentes clases.

«Cuando buscamos dentro de este código, logramos encontrar diferentes acciones dentro de estas clases, pero no todas están protegidas», explicó Yalon. «Estábamos buscando las clases y acciones que no tenían verificación de permisos, y de hecho encontramos algunas».

A la cámara le importaba quién tomó una foto, se enteraron, pero no verificó los mismos permisos al encender la cámara de online video, que inmediatamente comenzó a grabar, sin hacer preguntas no se necesitan permisos. También descubrieron que no necesitaban permisos para cambiar entre las cámaras frontal y trasera.

Si bien tomar una foto period un engaño sin permisos, no period imposible. Los investigadores descubrieron que al usar el temporizador de fotos, podían eludir el requisito de permisos y tomar una foto.

Con estos hallazgos, decidieron crear una aplicación maliciosa que pudiera explotar estos defectos mientras se escondía dentro de otra aplicación benigna. Esta aplicación maliciosa, denominada Spyxel, fue puramente con fines de investigación y nunca apareció en Google Perform. Spyxel no requería ningún permiso o acceso especial, pero aún podía tomar fotografías o videos a voluntad, dijo Yalon. Los investigadores crearon un proceso en segundo plano para garantizar que la aplicación permaneciera persistente en todo momento.

Cómo Spyxel se mantuvo sigiloso

Hubo algunos problemas para mantener esta aplicación maliciosa en secreto. La aplicación de la cámara generalmente aparece en pantalla, emite un sonido de obturador al tomar una foto y almacena medios en el dispositivo del usuario, una clara señal de que algo podría estar mal.

Para sortear el primer obstáculo, los investigadores solicitaron a la aplicación maliciosa que solo grabara imágenes o movies cuando la pantalla del usuario estuviera cubierta. El sensor de proximidad del teléfono inteligente puede decir cuando algo está cerca de la pantalla y detecta cuando está boca abajo o se desliza en un bolsillo. Con este paso, Spyxel solo grabaría cuando el usuario no estuviera prestando atención.

El obturador resultó un desafío. «El teléfono no se puede silenciar sin el permiso adecuado, y eso tiene sentido», dijo Yalon. «No quieres que ninguna aplicación apague tu teléfono».

Si bien los investigadores no pudieron silenciar el sonido del obturador por completo, descubrieron que sin ningún permiso podían bajar el volumen hasta que alcanzara un silencio overall. Este fue un problema claro, dado que el silenciamiento no period posible sin permiso y Google emitió otro CVE para el problema.

La mayoría de las aplicaciones de Google Play utilizan permisos de almacenamiento la aplicación de la cámara los united states of america para almacenar archivos multimedia. Este fue el único permiso que el equipo se sintió bien al usar en su aplicación maliciosa, ya que la mayoría de las personas otorgan permisos de almacenamiento a las aplicaciones de teléfonos inteligentes.

Esto también proporcionó una transición para conocer la ubicación de las víctimas. La mayoría de las imágenes y films tienen una etiqueta geográfica de ubicación incrustada en los metadatos, explicó Yalon. Está activado de forma predeterminada en la mayoría de los teléfonos y, en este caso, les dio a los investigadores mucha información. Descubrieron que podían usar los metadatos dentro de las imágenes para controlar un teléfono objetivo.

«De hecho, convertimos el teléfono específico en un dispositivo de rastreo», dice Yalon. Con una lista de fotos y video clips, y sus datos de geolocalización específicos, los investigadores podrían trazar los movimientos del teléfono a lo largo del tiempo. Todo lo que necesitarían es una víctima para descargar la aplicación maliciosa y ejecutarla una vez, por lo que podría permanecer persistente en segundo plano.

Checkmarx informó la vulnerabilidad a Google en julio de 2019. Google la calificó por primera vez como moderada, pero luego se actualizó a severa luego de una demostración y comentarios del equipo de Checkmarx. En agosto, Google emitió CVE-2019-2234 y se comunicó con otros proveedores de teléfonos Android que pueden haber estado expuestos. Samsung fue el único proveedor que confirmó que se vio afectado.

Kelly Sheridan es la editora de personal de Dark Reading, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original