Google & Samsung corrige un défaut d’espionnage Android. D’autres fabricants peuvent encore être
Jusqu’à récemment, les faiblesses des applications de caméra Android de Google et Samsung permettaient aux applications malveillantes d’enregistrer des vidéos et de l’audio et de prendre des images, puis de les télécharger sur un serveur contrôlé par un attaquant, sans aucune permission à cet effet. Les applications caméra d’autres fabricants peuvent encore être sensibles.
Cette faiblesse, découverte par des chercheurs de l’entreprise de sécurité Checkmarx, représentait un risque potentiel pour la vie privée de cibles de grande valeur, comme celles qui sont la proie d’espions parrainés par la nation. Google a soigneusement conçu son système d’exploitation Android pour empêcher les applications d’accéder aux caméras et aux microphones sans la permission explicite des utilisateurs finaux. Un enquête publiée mardi a montré qu’il était insignifiant de contourner ces restrictions. L’enquête a révélé qu’une application n’avait besoin d’aucune autorisation pour que l’appareil photo prenne des photos et enregistre des vidéos et du son. Pour télécharger les images et vidéos – ou toute autre image et vidéo stockées sur le téléphone – sur un serveur contrôlé par un pirate, une application n’avait besoin que d’une autorisation pour accéder au stockage, ce qui est l’un des droits d’utilisation les plus fréquemment accordés.
Cette faiblesse, qui est suivie sous le nom CVE-2019-2234, a également permis à des attaquants potentiels de suivre l’emplacement physique de l’appareil, en supposant que les données GPS étaient intégrées dans des images ou des vidéos. Google a comblé le trou d’écoute de sa gamme d’appareils Pixel avec une mise à jour de la caméra qui est devenue disponible en juillet. Selon Checkmarx, Samsung a également corrigé la vulnérabilité, bien que l’on ne sache pas quand cela s’est produit. Checkmarx a déclaré que Google a indiqué que les téléphones Android d’autres fabricants peuvent également être vulnérables. Les fabricants et modèles spécifiques n’ont pas été dévoilés.
« La capacité d’une application à récupérer les données de la caméra, du microphone et de la position GPS est considérée comme hautement invasive par Google lui-même « , a écrit Erez Yalon, directeur de la recherche en sécurité chez Checkmarx, dans l’analyse de mardi. « En conséquence, OSDP a créé un ensemble spécifique de permissions qu’une application doit demander à l’utilisateur. »
Pour démontrer le risque, Checkmarx a développé une application malhonnête de preuve de concept qui exploite cette faiblesse. Il se faisait passer pour une simple application météo. A l’intérieur se cachaient des fonctions qui le pouvaient :
- Prenez des photos et enregistrez des vidéos, même lorsque le téléphone était verrouillé, que l’écran était éteint ou que l’application était fermée.
- Tirez les données GPS intégrées dans n’importe quelle photo ou vidéo stockée sur le téléphone.
- Écoutez et enregistrez des conversations téléphoniques bidirectionnelles et enregistrez simultanément des vidéos ou des images.
- Faites taire l’obturateur de la caméra pour rendre l’espionnage plus difficile à détecter.
- Transférez n’importe quelle photo ou vidéo stockée sur le téléphone vers un serveur contrôlé par l’attaquant.
- Listez et téléchargez n’importe quelle image JPG ou vidéo MP4 stockée sur la carte SD du téléphone.
Une attaque ne serait pas complètement subreptice. L’écran d’un appareil exploité affiche l’appareil photo pendant qu’il enregistre une vidéo ou prend une photo. Cela alerterait quiconque regardait le combiné au moment où l’attaque a eu lieu. Néanmoins, l’attaque serait capable de capturer de la vidéo, du son et des images à des moments où l’écran du téléphone était hors de vue, comme lorsque l’appareil était posé sur l’écran. L’application a pu utiliser le capteur de proximité pour déterminer quand l’appareil est face vers le bas.
L’application PoC de Checkmarx était également capable d’utiliser le capteur de proximité d’un téléphone pour détecter quand il était tenu à l’oreille d’une cible, comme cela arrive souvent pendant les appels téléphoniques. L’application a pu enregistrer les deux côtés de la conversation. Il pouvait également enregistrer des vidéos ou prendre des images, une capacité utile dans le cas où l’arrière du téléphone était face à un tableau blanc ou quelque chose d’autre d’intérêt pour un attaquant. Le rapport de Checkmarx comprend une vidéo démontrant les capacités de l’application PoC.
Dans une déclaration, les responsables de Google ont écrit : » Nous apprécions que Checkmarx porte cela à notre attention et travaille avec Google et ses partenaires Android pour coordonner la divulgation. La question a été abordée sur les appareils Google impactés via une mise à jour de Play Store à l’application Google Camera en Juillet 2019. Un patch a également été mis à la disposition de tous les partenaires. »
Les responsables de Samsung ont écrit : « Depuis que nous avons été informés de ce problème par Google, nous avons par la suite publié des correctifs pour traiter tous les modèles d’appareils Samsung qui peuvent être affectés. Nous apprécions notre partenariat avec l’équipe Android qui nous a permis d’identifier et d’aborder cette question directement. »
La déclaration ne précisait pas quand Samsung a publié le correctif ni comment les clients de Samsung peuvent vérifier si le correctif a été installé.
Checkmarx a déclaré que Google a indiqué en privé que d’autres fabricants de téléphones Android en dehors de Samsung mai également être vulnérables. La déclaration de Google ne le confirme pas directement et ne dit pas si d’autres fabricants ont installé une mise à jour.
Dans un courriel, Yalon de Checkmarx a dit qu’il n’était pas clair pourquoi les applications pouvaient accéder à l’appareil photo sans la permission de l’utilisateur. Il a émis l’hypothèse que la faiblesse pourrait être le résultat du fait que Google a fait fonctionner l’appareil photo avec l’assistant Google à commande vocale et d’autres fabricants qui ont emboîté le pas.
Les utilisateurs de téléphones Pixel peuvent confirmer qu’ils ne sont pas vulnérables en accédant aux applications et aux notifications à partir du menu Paramètres, en choisissant Caméra > Avancé > et Détails des applications. L’écran devrait montrer que l’application a été mise à jour depuis juillet (et idéalement beaucoup plus récemment que cela).
Les compétences et la chance nécessaires pour que l’attaque fonctionne de manière fiable et sans détection sont suffisamment élevées pour que ce type d’exploit ne soit pas susceptible d’être utilisé contre la grande majorité des utilisateurs d’Android. Néanmoins, la facilité de glisser des applications malveillantes dans le magasin Google Play suggère qu’il ne serait pas difficile pour un attaquant déterminé et sophistiqué d’obtenir quelque chose comme ça. Pas étonnant que les téléphones et autres appareils électroniques soient interdits dans les SCIF et autres environnements sensibles.