Uma nova vulnerabilidade encontrada pelos pesquisadores da Checkmarx e que foi revelada publicamente nesta terça-feira (19) deve colocar milhões de usuários Android em alerta, já que ela permite que aplicativos tenham acesso à câmera dos smartphones sem a permissão expressa dos usuários.
A partir dessa falha, apps que, em seus termos de uso, não necessitariam do acesso à câmera, conseguiriam usar da brecha para abrir o Google Camera e o Samsung Camera e, assim, tirar fotos, gravar vídeos e até extrair dados de localização GPS sem a permissão ou mesmo conhecimento do dono do celular.
Normalmente, para se ter acesso à câmera do aparelho, um aplicativo precisa que o usuário conceda a ele permissão para acessar a câmera, gravar áudio e acessar a localização GPS do dispositivo. No entanto, a falha batizada pela Checkmarx de CVE-2019-2234 permitia que qualquer app que tivesse a permissão para armazenar e acessar arquivos na memória interna do smartphone e nos cartões SD do aparelh tivesse caminho livre para executar os aplicativos de câmera da Google e da Samsung como bem entendessem, desde que, obviamente, estivessem instalados no telefone. E, como qualquer foto tirada pelo celular também possui metadados de GPS, também seria possível ter acesso à localização do aparelho.
Assim, um cibercriminoso poderia criar um aplicativo inocente, como um organizador de cartão SD, um joguinho de corrida ou mesmo um app de previsão do tempo, e a partir dele ter acesso total à câmera do aparelho remotamente, podendo tirar fotos e gravar vídeos comprometedores que poderiam ser usados para chantagens. Isso porque a permissão de acesso para armazenar e acessar arquivos é o tipo mais comum para qualquer app.
Essa vulnerabilidade foi revelada para a Google no dia 4 de julho deste ano, e a empresa já reconheceu que ela era um problema crítico. Tanto que já disponibilizou uma atualização para os aplicativos que resolve o problema.
“Agradecemos à Checkmarx por chamar a atenção [para o problema] e por trabalhar com parceiros do Google e do Android para coordenar a descoberta. A vulnerabilidade aconteceu com dispositivos Google após uma atualização da Play Store para o app Google Camera em julho de 2019. Um patch já foi disponibilizado para todos os parceiros”, revela a companhia.
Se o seu smartphone está em dia com as atualizações, não há com o que se preocupar: o problema já foi resolvido. Mas, se você é daquelas pessoas que não gostam de atualizar seus apps ou o sistema operacional do celular, recomendamos que faça agora mesmo a atualização para a versão mais recente do Android no seu aparelho, a fim de evitar que criminosos usem essa vulnerabilidade para espionar tudo o que você está fazendo.
Fonte: Canaltech