Uma nova vulnerabilidade foi descoberta sobre a aplicação nativa de câmara presente em milhões de dispositivos Android em redor do mundo, a qual pode ser aproveitada para recolher fotos, vídeos e extrair informação GPS dos mesmos sem a autorização dos utilizadores.
De acordo com a descoberta dos investigadores da empresa Checkmarx, algumas aplicações de câmaras presentes nos dispositivos possuem uma API interna, a qual permite que outras apps utilizem as suas funcionalidades para os mais variados fins. Por exemplo, uma aplicação de terceiros para captura de fotos pode utilizar esta API para iniciar a câmara e recolher fotos ou vídeos, porém necessita de pedir autorização aos utilizadores para tal.
No entanto, a falha agora descoberta permite que esta recolha de conteúdos seja realizada sem qualquer permissão. A falha foi descoberta na aplicação do Google Camera e nas apps nativas da câmara da Samsung, afetando todas as versões lançadas antes de Julho de 2019.
Através da exploração desta vulnerabilidade, outras apps instaladas no sistema podem realizar a recolha de fotos, vídeos e extrair informação GPS do dispositivo sem qualquer género de autorização, e sem que os utilizadores tenham conhecimento.
Além disso, a falha também permite que as apps tenham acesso ao conteúdo presente no armazenamento, e que permite assim o acesso a outras fotos e vídeos armazenados no dispositivo e cartões de memoria.
A única permissão que estas apps maliciosas necessitariam era a de aceder ao armazenamento do sistema, algo que é bastante comum de ser feito pela maioria das apps no mercado. Após isso a recolha de conteúdos poderia ser realizada sem qualquer entrave, e a piorar a situação, poderia ser capturado conteúdo em tempo real e utilizado para os mais variados fins.
A falha foi silenciosamente revelada para a Google e Samsung antes de ter sido tornada publica. No caso da Google, todas as versões da Google Camera lançadas depois de Julho de 2019 encontram-se com o problema corrigido.
Se utiliza a aplicação nativa da câmara da Google ou da Samsung, o mais recomendado será verificar se existe alguma atualização disponível a partir da Play Store. No entanto, isto afeta sobretudo os utilizadores que tenham versões mais antigas do sistema ou de ROMs personalizadas e que tenham instalado a GCam fora da Play Store, que podem permanecer vulneráveis se não actualizarem as mesmas.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech