Un bug de sécurité découvert sur Android permettait à certaines applications d’enregistrer des vidéos, de prendre des photos et de capturer de l’audio sans que l’utilisateur s’en aperçoive.
Tout le contenu capturé par ces applications a été téléchargé sur un serveur distant, sans l’autorisation de l’utilisateur. La vulnérabilité a été découverte par la société de sécurité Checkmarx et a été mise en évidence par Ars Technica. Le bug risquait de laisser les caméras et les microphones ouverts, ainsi que la possibilité d’enregistrer illégalement tout l’environnement de l’utilisateur du smartphone.
Android fournit un système qui empêche l’application d’accéder à la caméra et au microphone du smartphone sans l’autorisation de l’utilisateur, mais avec cet exploit particulier, une application pourrait utiliser la caméra vidéo et le microphone pour capturer de la vidéo et de l’audio sans aucun consentement. Tout ce qu’une application devait faire était d’obtenir l’autorisation d’accéder à l’espace de stockage d’un périphérique, ce qui est généralement accordé par tous les utilisateurs lorsqu’une application le requiert.
Pour prouver la présence de ce bug, Checkmarx a créé une application de test offrant des prévisions météorologiques, mais en réalité, elle a collecté de nombreuses données privées sur le terrain. L’application était capable de prendre des photos et d’enregistrer des vidéos même lorsque l’écran du téléphone était éteint ou que l’application était fermée, ainsi que d’accéder aux données de localisation des photos. Il était également capable de fonctionner en mode invisible, en éliminant le son de l’obturateur de l’appareil photo et en enregistrant des conversations téléphoniques bidirectionnelles. Toutes les données ont été téléchargées sur un serveur distant.
Lorsque l’exploit était utilisé, l’écran du smartphone connecté montrait l’appareil photo pendant l’enregistrement vidéo ou la prise de photo. Pour éviter que l’utilisateur ne le remarque, l’application pourrait être activée lorsque le téléphone était invisible de son propriétaire ou, à l’aide de capteurs de proximité, uniquement lorsque le smartphone était tourné vers le bas.
Google a résolu la vulnérabilité de ses smartphones Pixel grâce à une mise à jour de l’appareil photo lancée en juillet. Samsung a également corrigé le bug Android avec une mise à jour, mais la date de publication n’est pas claire.
Voici ce que Google a déclaré : « Nous apprécions que Checkmarx ait attiré notre attention sur ce problème et ait collaboré avec ses partenaires Google et Android pour coordonner la divulgation. Le problème a été résolu sur les appareils Google concernés par le biais d’une mise à jour du Play Store pour l’application Google Camera en juillet 2019. Un correctif a également été mis à la disposition de tous les partenaires. »
Google a affirmé que les smartphones Android d’autres fabricants pourraient également être vulnérables au problème. Il est donc possible que certains appareils restent exposés aux attaques. Google n’a pas révélé de fabricants ni de modèles spécifiques.
S’agissant d’un bug Android, les appareils iOS ne sont pas concernés par cette vulnérabilité.
