I ricercatori di Checkmarx hanno scoperto circa quattro mesi fa una grave vulnerabilità nell’app Google Camera che può essere sfruttata per trasformare lo smartphone in un dispositivo per lo spionaggio. I dettagli del bug sono stati svelati solo ora per dare tempo a Google di effettuare le necessarie verifiche, in seguito alle quali è stata rilasciata una patch. Il problema è presente anche nell’analoga app di Samsung e probabilmente in quelle di altri produttori.
I ricercatori di Checkmarkx hanno rilevato la vulnerabilità nell’app Google Camera dei Pixel 3 e Pixel 2 XL. Si tratta di un “permission bypass” che permette ad altre app di eseguire diverse azioni senza richiedere un esplicito permesso. Tramite la manipolazione di specifici intent, un malintenzionato potrebbe controllare l’app per scattare foto e registrare video. Inoltre, eludendo i permessi di storage, sarebbe possibile accedere alle foto memorizzate sullo smartphone e ricavare la posizione geografica dai dati EXIF.
Le app fotografiche salvano foto e video sulla scheda microSD. Per accedere alla microSD è necessario il permesso di storage che viene concesso a molte app legittime, anche se non devono utilizzare foto e video. I ricercatori di Checkmarx hanno creato una falsa app per le previsioni del tempo che richiede solo il permesso di accedere allo storage. Quando viene avviata si collega ad un server C&C (Command-and-Control). L’operatore remoto può quindi scattare una foto o registrare un video che verranno inviati al server, trovare la posizione dell’utente leggendo i tag GPS nelle foto, registrare l’audio delle telefonate.
In pratica lo smartphone diventa un tool per lo spionaggio. I test sono stati effettuati con i Pixel 3 e Pixel 2 XL, ma la vulnerabilità è presente in tutti i modelli Google, oltre che nell’app Samsung Camera. Sia Google che Samsung hanno distribuito una patch. L’azienda di Mountain View ha inoltre dichiarato che il bug potrebbe essere presente anche sui dispositivi di altri produttori.