Falha em app de câmera deixou milhões de smartphones Android vulneráveis à espionagem
Mesmo se você for atencioso com as permissões de aplicativo, nunca dá para prever quando um atacante ou cibercriminoso abusará delas. Desta vez, uma equipe de pesquisadores de segurança encontrou uma falha aterrorizante nos aplicativos de câmera Android que poderia permitir que apps maliciosos controlassem completamente a câmera de um telefone para espionar o usuário sem o conhecimento deles.
Não é preciso ser um gênio para saber que fotos e vídeos podem conter informações extremamente confidenciais e, portanto, você deve pensar duas vezes antes de dar permissão a um aplicativo para usar uma câmera. É por isso que o Google tem um conjunto específico de permissões que um aplicativo precisa de um usuário para obter acesso à câmera de um telefone. No entanto, os pesquisadores da Checkmarx descobriram que um app malicioso podia burlar a rede de segurança completamente ao solicitar permissões para armazenamento.
Permissões de armazenamento são comuns em apps Android, geralmente usado para muitos casos legítimos. Essencialmente, como os apps de câmera do Android guardam as fotos e vídeos em um cartão SD, conceder a permissão de um app para armazenamento dá acesso a tudo que está no cartão, segundo os pesquisadores. E a coisa mais terrível é que os atacantes nem precisariam do acesso à câmera. Em vez disso, escreve a Checkmarx, “um atacante pode controlar o app e tirar fotos e/ou tirar vídeos por meio de um aplicativo não autorizado que não tem permissão para fazê-lo”, uma vez que possui permissão de armazenamento. Pior ainda, uma vez que a permissão é concedida, não importa se um usuário fecha o aplicativo, pois a conexão já foi estabelecida, relatam os pesquisadores.
Para demonstrar a vulnerabilidade, a equipe da Checkmarx gravou um vídeo de prova de conceito, Usando um aplicativo de previsão de tempo, a equipe conseguiu não só tirar fotos e fazer vídeos de um Pixel 2 XL e um Pixel 3, mas também conseguiram coletar dados de GPS dessas fotos. A equipe conseguiu detectar quando o telefone estava virado para baixo e, em seguida, pode direcionar remotamente a câmera traseira para tirar fotos e gravar vídeos.
Outro aspecto assustador é que os invasores podem adotar um “modo furtivo”, onde os ruídos do obturador da câmera são silenciados e, depois de tirar fotos, devolvem o telefone à tela de bloqueio, como se nada tivesse acontecido. Mas, o que é mais perturbador mesmo, é o vídeo demonstrando um cenário em que os invasores podem começar a gravar um vídeo enquanto alguém está no meio de uma chamada, para gravar áudio bidirecional e tirar fotos ou vídeo do entorno da vítima — tudo sem o alvo saber.
A vulnerabilidade também não se limitou ao aplicativo de câmera do Google. Os pesquisadores descobriram que o aplicativo de câmera da Samsung, bem como aplicativos de câmera de muitos outros fornecedores de smartphones. Isso significa que a vulnerabilidade impactou potencialmente centenas de milhões de telefones.
Felizmente, a falha foi relatada tanto para o Google como para a Samsung. O Google emitiu uma correção para a falhar por meio de uma atualização da Play Store em julho, e uma correção também foi distribuída a todos os parceiros do Android. A Samsung também confirmou ao Checkmarx que uma correção foi lançada.
Tudo certo, então. Mas você já atualizou seu telefone? Se você tem Android e adia atualizações, você deve fazê-lo agora para garantir que está executando a versão mais recente.