"Plusieurs fabricants ont été contactés concernant les vulnérabilités" : la faille liée à la caméra sous Android perdure ?

Les permissions... L'équipe sécuritaire Checkmarx vient de publier les conclusions d'une faille sous Android ; mise en lumière depuis, officiellement, le 4 Juillet 2019, la publication de ces conclusions a été dévoilée le 19 Novembre dernier et concernerait une exploitation malveillante de l'application Caméra de Google via un abus des autorisations de stockage qui permettrai d'espionner l'utilisateur à son insu et de collecter certaines données.

 

 

"Il est connu que les applications de caméra Android stockent généralement leurs photos et vidéos sur la carte SD. Comme les photos et les vidéos sont des informations utilisateur sensibles, pour qu'une application puisse y accéder, des autorisations spéciales sont nécessaires: autorisations de stockage. Malheureusement, les autorisations de stockage sont très larges et donnent l’accès à l’ensemble de la carte SD. Un grand nombre d'applications, avec des cas d'utilisation légitimes, demandent l'accès à ce stockage, mais n'ont aucun intérêt particulier pour les photos ou les vidéos. En fait, il s’agit de l’une des autorisations demandées les plus courantes. Cela signifie qu'une application non autorisée peut prendre des photos et / ou des vidéos sans autorisations spécifiques de l'appareil photo. Elle n'a besoin que d'autorisations de stockage pour aller plus loin et récupérer des photos et des vidéos une fois qu'elles ont été prises. De plus, si l'emplacement est activé dans l'application Appareil photo, l'application non autorisée dispose également d'un moyen d'accéder à la position GPS actuelle du téléphone et de l'utilisateur", est-il notifié par Checkmarx qui indique, aussi, que cela fonctionne pour un média de type vidéo : l'exploit peut être effectif depuis un simple appel téléphonique, ce qui permet d'enregistrer les correspondants (appelé et appelant)...

Mais cela se s'arrêterait pas là : cette vulnérabilité, toujours une fois la ou les permission(s) de stockage accordée(s) et grâce aux capteurs du terminal infecté, permettrait de savoir quand la victime passe un appel ou non (tenue du smartphone près de l'oreille tout en notant que l'option "hauts-parleurs" n'est pas évoquée et pourrait être exclue de ce schéma d'attaque... ?). La faille a été testée depuis deux modèles de Pixel (le 2 Xl et le 3).

Concernant le patch, il est déjà disponible (par l'entremise de Google) mais, pour l'heure, a été appliqué uniquement par Google et Samsung. Reste à voir, comme d'habitude, dans combien de temps les autres fabricants appliqueront cette rustique assignée CVE-2019-2234 depuis le 1er Août dernier et dont le niveau de criticité a été jugée "élevé" par Google... A veiller !

 

 

Source : Blog Checkmarx - 19 Novembre 2019 - Application caméra de Google : patch appliqué par Google et Samsung "seulement".