Algunas apps de Android pudieron usar la cámara de tu teléfono sin pedirte permiso

^Checkmarx 

Algunos comandos estándar en muchos teléfonos Android permitieron que aplicaciones iniciaran y controlaran la cámara sin pedir permiso al usuario. De acuerdo a investigadores de ciberseguridad de la compañía Checkmarx, una vez al tanto de esta falla, informaron a Google y Samsung para que puedan solucionar la vulnerabilidad.

Los permisos en Android

Las apps de Android pueden solicitar acceso a algunas funciones a través del API estándar, y para otras funciones, el sistema solicita al usuario que proporcione acceso a la aplicación. Por ejemplo, si una aplicación solicita acceso a una cámara, el sistema primero solicita permiso al propietario.

Además del sistema de permisos, Android también tiene un subsistema para comunicar apps entre sí. Por ejemplo, algunas aplicaciones indican las coordenadas de un lugar en el mapa como un enlace, y si el usuario hace clic en él, ingresa a la aplicación de mapa estándar.

Detrás de este proceso hay una solicitud de acción a través de un objeto. En este caso, las instrucciones para las acciones pueden ser implícitas, y el sistema mismo selecciona las aplicaciones que son adecuadas para la solicitud.

Una falla en la cámara

Sin embargo, los investigadores de Checkmarx descubrieron que las apps de cámara estándar en los teléfonos de Google y Samsung permiten que aplicaciones de terceros tomen fotos o videos, independientemente de si la aplicación tiene permiso para acceder a la cámara.  

Una vez que la app ha enviado dicha solicitud, se inicia la aplicación de la cámara. Cuando la app está usando la cámara, ésta usa un conjunto de comandos, y puede tomar fotos o videos, así como establecer un temporizador de disparo o elegir qué cámara usar.

El riesgo

En sí misma, esta vulnerabilidad difícilmente se puede decir que es útil. Sin embargo, los investigadores señalan que los atacantes pueden usarla junto con otras capacidades del sistema. Por ejemplo, muchas aplicaciones en Google Play solicitan acceso a la tienda, y los usuarios están acostumbrados a autorizarlas sin pensar por qué el programa necesita dicho acceso.

Después de recibir este permiso, una app maliciosa puede transferir las fotos capturadas a su servidor, y si la configuración de ubicación del usuario está habilitada, puede rastrear la ubicación de una persona.

Además, los investigadores mostraron que el funcionamiento de una aplicación maliciosa puede ocultarse si monitorea el estado del sensor de proximidad y comienza a disparar solo cuando el teléfono inteligente está conectado al oído durante una conversación o se encuentra en una mesa.

La reacción de las empresas

Los investigadores enviaron información de vulnerabilidad al equipo de seguridad de Android en Google a principios de julio, después de lo cual Google y Samsung corrigieron las vulnerabilidades y permitieron su divulgación en noviembre. Sin embargo, Google también dijo que ha notificado a otras compañías, por lo tanto, es probable que los teléfonos inteligentes de otros fabricantes también se hayan visto afectados.

Recientemente, expertos de Google descubrieron sitios que durante al menos dos años utilizaron vulnerabilidades críticas desconocidas en iOS. Después de que un usuario accedió al sitio a través de un navegador, se instaló una aplicación maliciosa en su teléfono, obteniendo derechos de superusuario y transmitiendo contraseñas, fotos y otra información confidencial a los atacantes.
 

Victor Román
Esta noticia ha sido publicada originalmente en N+1, ciencia que suma.

Sobre N+1: Es la primera revista online de divulgación científica y tecnológica que permite la reproducción total o parcial de sus contenidos por medios de comunicación, bloggers e influencers, realizando la mención del texto y el enlace a la web: “Esta noticia ha sido publicada originalmente en la revista N+1, ciencia que suma: www.nmas1.org”.