Una vulnerabilità delle app fotocamera a bordo degli smartphone Android consentirebbe a eventuali malintenzionati di registrare video e audio, oltre che acquisire immagini senza permesso e caricarle su un server esterno. Il problema, identificato con il codice CVE-2019-2234, è stato risolto da Google qualche mese fa e da Samsung sui loro smartphone, ma tanti altri modelli potrebbero esserne ancora afflitti.

La vulnerabilità è stata scovata dai ricercatori di sicurezza di Checkmarx e costituisce un potenziale serio rischio per la privacy degli utenti, soprattutto per i cosiddetti “obiettivi di alto valore”. Sappiamo che Google ha introdotto a bordo di Android un sistema di sicurezza che permette alle app di avere accesso a fotocamere e microfoni solo con il permesso esplicito degli utenti, ma come segnalato dai controlli pare che sia piuttosto “semplice” aggirarlo.

Da un’indagine svolta da Checkmarx è emerso che un’app, con qualche accorgimento, non ha davvero bisogno di autorizzazioni esplicite per scattare foto e registrare video e audio, ma solo di quelli per accedere all’archiviazione. In più, nel caso di dati GPS attivi per le foto, la vulnerabilità permetterebbe ad aspiranti aggressori di avere accesso anche alla posizione del dispositivo. In pratica, sfruttando questa falla della fotocamera, un malintenzionato potrebbe essere in grado di:

  • scattare foto e registrare video dal telefono della vittima e caricarli o recuperarli in un server;
  • analizzare tutte le foto più recenti con i tag GPS e individuare la posizione dello smartphone su una mappa;
  • registrare una chiamata o altro audio, da entrambi i lati della conversazione.

Google ha dichiarato di aver risolto la vulnerabilità della fotocamera sui suoi dispositivi con le patch rilasciate lo scorso luglio; pure Samsung ha chiuso la falla (“su tutti i modelli che potrebbero essere interessati“), anche se non è chiaro quando esattamente ciò sia accaduto. Il fatto che persino gli smartphone Samsung Galaxy ne fossero afflitti, potrebbe significare che tanti altri dispositivi Android su mercato potrebbero esserlo: in effetti Google ha comunicato di aver reso disponibile la patch per tutti partner, ma non abbiamo altre indicazioni in tal senso.

I ricercatori Checkmarx si sono comunque dichiarati molto soddisfatti della professionalità e del lavoro svolto da Google e Samsung, che si sono subito adoperate per risolvere. Per tutti i dettagli sulla vulnerabilità legata alla fotocamera potete fare riferimento all’articolo pubblicato da Checkmarx sul suo sito.