I ricercatori di Checkmarx, dopo avere per mesi collaborato con Google e Samsung alla risoluzione del problema, hanno confermato quest’oggi la scoperta di una grave vulnerabilità nell’app usata su decine se non centinaia di milioni di dispositivi Android.
Come spiegato in questa pagina, l’app Fotocamera usata sui dispositivi Google Pixel permetteva ad eventuali app malevole di scattare foto, acquisire sequenze filmate e stabilire la posizione dell’utente senza utilizzare gli appositi permessi.
Di norma, infatti, le app Android debbono richiedere i permessi CAMERA, RECORD_AUDIO, ACCESS_FINE_LOCATION
e ACCESS_COARSE_LOCATION
per porre in essere le attività indicate.
Gli esperti di Checkmarx hanno rivelato che proprio usando l’app Fotocamera preinstallata sui Pixel, tutte le app Android che hanno chiesto e ottenuto i permessi “storage” per l’accesso alla memoria interna del dispositivo mobile e all’eventuale scheda SD, potevano interagire senza limitazioni con l’applicazione che gestisce la fotocamera.
Un comportamento anomalo che ha subito destato preoccupazione perché la maggior parte delle app Android richiede l’autorizzazione per accedere allo storage.
Di seguito il video realizzato da Checkmarx che mostra come avviene l’attacco:
Google ha confermato che le versioni dell’app Fotocamera antecedenti a quella rilasciata a luglio 2019 sono affette dal problema. Inoltre, è stato confermato che il problema potrebbe riguardare altri produttori. Ad esempio è emerso che Samsung ha dovuto affrontare la stessa problematica rilasciando un aggiornamento correttivo così come ha fatto Google. Il consiglio è verificare di aver aggiornato all’ultima versione tutte le app che si usano per la gestione della fotocamera.