Android, una falla (corretta) permette di accedere alla fotocamera

20 Novembre 2019 102

Una nuova vulnerabilità in molti smartphone Android è stata scoperta dai ricercatori di Checkmarx: in poche parole, potrebbe permettere a un malintenzionato di ottenere il controllo completo della fotocamera del dispositivo e compiere un sacco di azioni pericolose, tra cui registrare foto e video all'insaputa dell'utente, monitorare le telefonate e molto altro. L'informazione più importante in tutto questo, in ogni caso, è che la falla è già stata corretta da mesi.

Non è però chiaro esattamente quali e quanti siano gli smartphone colpiti. La ricerca parla espressamente di Google e di Samsung, ma secondo Checkmarx anche "altri produttori" potrebbero essere interessati - e Google concorda. In ogni caso, il colosso di Mountain View ha sviluppato una patch e l'ha distribuita lo scorso luglio attraverso un aggiornamento del Play Store. Ha anche reso disponibile la patch a tutti i "produttori interessati". Samsung ha confermato di aver corretto la vulnerabilità durante l'estate.

I POTENZIALI DANNI

Se un hacker "black hat" avesse scoperto questa falla, avrebbe in teoria potuto:

  • Scattare foto e video dallo smartphone all'insaputa dell'utente e inviarle a un server esterno.
  • Monitorando il sensore di prossimità, registrare una telefonata (entrambi gli interlocutori) e inviarla a un server esterno.
  • Registrare video durante la registrazione della chiamata.
  • Estrarre i tag GPS dalle foto scattate e localizzare la vittima.
  • Visualizzare e copiare foto e video salvate in locale
  • Attivare la modalità silenziosa in modo tale che non ci fosse un suono di inizio registrazione video/scatto foto ad allertare l'utente.
  • La cattura di video e foto sarebbe potuta iniziare anche a smartphone bloccato.
COME FUNZIONA L'ATTACCO

L'attacco è molto pericoloso perché potrebbe bastare l'installazione di un'app da fonti legittime (vale a dire il Play Store) che non richieda nemmeno chissà quali permessi. Checkmarx è riuscita a dimostrare con successo il suo exploit con una finta app meteo che richiedeva solamente l'accesso alla memoria di archiviazione - uno dei permessi più richiesti da app e giochi di ogni genere. L'attacco, spiegano i ricercatori, è proprio in grado di aggirare alcune policy di questo permesso: non appena viene avviata, l'app stabilisce una connessione persistente (che permane anche dopo la chiusura dell'applicazione) con un server "command&control" esterno, da cui l'hacker può inviare tutti i comandi fraudolenti. Ecco la dimostrazione in video, con sfortunato protagonista un Google Pixel 2 XL.

Come abbiamo detto, per la maggior parte degli utenti non dovrebbero esserci problemi: la falla dovrebbe già essere stata chiusa settimane - mesi - fa. Purtroppo Checkmarx non ha rilasciato uno strumento per verificare se il proprio dispositivo è vulnerabile.

Il top di Huawei al miglior prezzo? Huawei P30 Pro, in offerta oggi da Mobzilla a 539 euro oppure da ePrice a 607 euro.

102

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
x1carbon

bloccato e segnalato... a mai più!

Dwarven Defender

Ancora non hai toccato il fondo, buon per te, hai margine per renderti ancora più patetico cosa a cui evidentemente ambisci non potendo ambire ad altro...
ti lascio l’ultima parola inutile ed astiosa, tanto non vale niente, esattamente come te

Aster

??

x1carbon

tu invece che sprali e blateri di cose che non conosci minimamente hai fatto la figura del pagliaccio che sei.
Saluti buffone... muori nella tua sterminata ignoranza.

Crash Nebula

È sempre colpa di Apple, Tim Cook ha le corna e il forcone

Egidiangelo
Crash Nebula

Ahia, ho toccato un tasto dolente eh papi

Aster

che per me il tuo uso e da stupido,io con lo smartphone vado sulla luna,sei troppo vecchio

Crash Nebula
Egidiangelo

Puoi risparmiare e prendere un medio gamma in offerta nel lungo termine

Egidiangelo

Semplice su Android è cosa di tutti i giorni

Crash Nebula

In italiano?

Dwarven Defender

hai fatto una figura miseranda... ma non sarò certo io ad impedirti di cadere più in basso, continua pure a scrivere commenti penosi...

Aster

Cosa sia stupido e tutto soggettivo. Se devo lanciare lo shuttle uso lo smartphone, direi lo stupido sei tu che spendi 1000€ per fare un tag.A no questo e il ragionamento da giovani, io sono vecchio! Va bene gente come se no l'economia non gira

Crash Nebula

Mad0nna che pale.
Butta 1000€ e gioca a Tetris in modalità aereo che ti devo dire, i soldi sono i tuoi.
Ciò non toglie che sia una mossa oggettivamente stupida.
Ma immagino che hai 50 anni quindi va bene così. Vuoi avere ragione tu e vuoi il rispetto che si da a chi è più grande, smetto di risponderti perché davvero è inutile cercare di instaurare un discorso sensato con gli analfabeti funzionali.

Aster

Ma sei stato tu a intrometterti e dire che se non usiamo gps sulle foto abbiamo sprecato lo smartphone. Devi volare basso quando parli con sconosciuti

Crash Nebula

AHAHAHAHA ma prendi il vocabolario e trovi parole a caso?
Misogino*

Hai la tipica irritabilità femminile causata dagli ormoni durante i giorni delle mestruazioni.
Va meglio così?

A parte il fatto che hai tirato fuori argomenti che non c’entrano nulla con quello che stavo dicendo io, quindi più che col ciclo diciamo che sei un analfabeta funzionale.
Cioè una persona incapace di comprendere quello che c’è scritto in un testo. Non vorrei che mi dessi anche del fascista lol.

Aster

Ci mancava anche il razzista misogine .Applicati di più e lascia stare lo smartphone

x1carbon

bravo ed ora g@g@t1 su una mano e fai poveretto me.

Crash Nebula

Si, hai il ciclo.

Aster

Il tuo dire paura di hacker e roba da film.Ma uno puo usare un dispositivo nel modo che ritiene giusto e valido per se?! Ip che sono tutto il giorno in wifi che me ne faccio della rete dati se non spendere soldi?!Faccio 10 foto al mese con il cellulare, a che mi serve gps?se ho tutto integrato nel auto a che mi serve gmapsa guardare fuori dal vostro orticello no e?Adesso devo aprire axcount social solo perche 1 miliardo di persone li usano o perche ho uno smartphone da 1000€ e magari e anche aziendale o regalato,ma no e sprecato perche non faccio tag!

Crash Nebula

Hai il ciclo?
Ritengo semplicemente che sia stupido compare uno smartphone ben più costoso di un 3310 ed utilizzarlo come quest’ultimo.
Non c’è niente di male ad utilizzare un 3310, la cosa stupid4 è acquistare un telefono che costa dieci volte di più ed utilizzarlo come un 3310.
Io vado a 200 mega, e quindi?
Hai letto l’articolo? Accedere alla fotocamera, poter registrare chiamate, video, foto, vedere tutte le foto e i video che hai in galleria non è una cosa da film, è esattamente quello che succede con questa falla.

Perché avete così tante difficoltà a comprendere l’italiano?

Aster

Hai detto bene per te!Questo non ti da ne diritto ne ragione a giudicare l'uso che fanno gli altri!Perche che male ce usare nokia 3310?io ho la fibra ftth da 20 ma non vado in giro a dire ei voi con adsl e rete dati cellulare siete obsoletti.Ognuno ha le sue esigenze,a te serve lo usi.99% della gente neanche sa che sia attivo e neanche li serve.poi attacchi hacker come immagini tu o io o l'utente normale sono solo cose da film

Crash Nebula

Se lo dico sono un fanb0y

Crash Nebula

Per me è una funzione utile. Se ci mettiamo a limitarci per paura di attacchi hacker allora tanto meglio utilizzare un 3310.

Pirullo

quale OS?

Pirullo

e con quale modello? un medio-basso gamma (il mio target) lo aggiornerebbero comunque poche volte.

Aster

si,ma non esclude quello che ho detto io,mai taggare la posizione tramitte le foto

Crash Nebula

Potrebbe non essere corretta su tutti gli smartphone Android in circolazione.

Crash Nebula

Se è in modalità aereo è un fermacarte.

Crash Nebula

Hai letto l’articolo? La falla funziona anche senza dare il permesso né alla fotocamera né alla posizione.

Egidiangelo

sperare o cambiare telefono

Crash Nebula

Comprare un telefono con un os che non abbandonano in mano a d10 dopo due anni.

Crash Nebula

E cancellare tutto dalla galleria direi

Crash Nebula

È divertente vedere come questa notizia faccia così poco scalpore, mentre se fosse stato su iOS ci sarebbero 2000 commenti qui adesso.
Senza contare che la falla è stata corretta SE c’è stato un aggiornamento, e non si sa quali smartphone ne erano (sono?) interessati.

Dwarven Defender

la necrofilia (elettronica) è solo per intenditoroni... concordo

x1carbon

Ahahahah!
Lo zucchero non è certo roba per i somari come te!!!

Il Bannato

interessante ... e dove si compra?

Dwarven Defender

si certo, come vuoi, goditi il tuo sistema operativo cadavere

Stefano Ferri

Corretta se lo aggiorni , ovvero se te lo aggiornano , ovvero se non hai un catorcio di telefono e se non ha più di due anni .

Kamgusta

Non dimenticare NWO e rettiliani please

x1carbon

Le boiate che scrivi? Si, si chiamano aborti (mentali)

Adriano

Niente

Pirullo

io non ho mai scaricato app dubbie, tantomeno quelle del meteo che non me ne frega nulla.
Il mio telefono non si aggiorna da anni, che ci posso fare?

Dwarven Defender

si... si chiamano aborti

The_Th

e il piddi? e le scie chimiche? e i poteri forti? e i vaccini?
GOMBOLOTTO!!11!1

The_Th

ctrl+c - ctrl+v
Il sistema è stato talmente poco diffuso che a nessuno interessava trovare un modo per rubare dati...

The_Th

non ha mai raggiunto una quota di mercato interessante...
Se devo cercare un exploit per rubare dati punto ad un sistema diffuso, non ad uno che non ha mai raggiunto quote interessanti, se sviluppo e posso colpire il 5% dei telefoni mondiali non ha senso perderci tempo...

The_Th

e ai microfoni...

Account Anniversario

Guarda che riprendere lo schermo del PC con la schermata di YouPorn non vale come video hard con le tipe eh...

Recensione Samsung Galaxy A51: pronto a conquistare la fascia media

Tre settimane con Huawei Mate 30 Pro: il punto su foto e autonomia

OnePlus Concept One, fotocamere invisibili grazie al vetro elettrocromico | Anteprima

L'identikit degli smartphone TOP di gamma 2020: più cari, più grandi, 20:9 e 5G | Video