Bug nella Fotocamera di Android, milioni di utenti a rischio cyber spionaggio

Scoperta una vulnerabilità nell’app Fotocamera di Android che consente ai criminal hacker di scattare foto, video e rubare informazioni riservate: a rischio milioni di smartphone Google Pixel e Samsung. Un problema serio soprattutto per i dirigenti di azienda e gli smart worker.

È stato scoperto un pericoloso bug in numerosi modelli di smartphone Android prodotti da Google, Samsung e altri che consente ai criminal hacker di controllare a distanza il dispositivo e scattare foto o registrare video sfruttando l’app Fotocamera senza avere permessi specifici per farlo, anche a telefono bloccato o a schermo spento e addirittura silenziando l’otturatore in modo che la vittima non possa sentire quando si scattano le foto.

Bug nella Fotocamera di Android: i dettagli

In particolare, sfruttando con successo la vulnerabilità scoperta da alcuni ricercatori di sicurezza, i criminal hacker potrebbero essere in grado di bypassare i controlli di sicurezza del sistema operativo Android basati sulle autorizzazioni che di fatto impongono alle applicazioni installate sui dispositivi mobile di definire esplicitamente a quali servizi, funzionalità e dati personali dell’utente accederanno.

Aggirate tali restrizioni, un eventuale attaccante è in grado di accedere alla telecamera e al microfono del dispositivo senza alcuna autorizzazione a farlo.

In un altro scenario di cyber spionaggio, gli attaccanti potrebbero riuscire a bypassare i permessi di archiviazione e accedere a foto e video archiviati nella memoria interna ed esterna del dispositivo, riuscendo anche a identificare l’esatta posizione geografica della vittima scattando foto e video e analizzandone i relativi dati EXIF.

I ricercatori di sicurezza hanno scoperto che una qualunque app malevola dotata della sola autorizzazione “Storage” (quella più comunemente richiesta) per l’accesso alla memoria dello smartphone potrebbe sfruttare la vulnerabilità dell’app Fotocamera di Android e tutte le sue autorizzazione per portare a termine un attacco di cyber spionaggio a totale insaputa della vittima.

Per comprendere la gravità del problema, basti pensare che sono tantissime le applicazioni che richiedono il permesso di accesso alla memoria del telefonino, tra cui giochi di corse automobilistiche, servizi di streaming e persino le app per le previsioni meteo.

Come correggere la vulnerabilità?

I ricercatori hanno rivelato la vulnerabilità a Google lo scorso 4 luglio 2019. Il 23 luglio Big G l’ha quindi confermata e classificata con un indice di gravità “Elevato”.

Il successivo 1° agosto Google ha confermato che la vulnerabilità ha influenzato anche le applicazioni Camera di altri produttori di dispositivi mobili Android.

Sempre nel mese di agosto, inoltre, si è accertato che anche l’applicazione Camera di Samsung era esposta alla vulnerabilità.

Per i dispositivi Google la vulnerabilità è quindi stata corretta con un aggiornamento dell’app Fotocamera resa disponibile sul Google Play Store. La patch, inoltre, è stata distribuita anche ad altri produttori. Il consiglio per prevenire qualunque tentativo di cyber spionaggio è dunque quello di aggiornare l’app della fotocamera il prima possibile.

 

Fonte: CyberSecurity360