Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

Samsung, los usuarios de Pixel ya no corren riesgo de secuestro de aplicaciones de cámaras Android

Muchos de los teléfonos Android insignia de hoy en día tienen cámaras fantásticas, pero la aplicación de la cámara en los teléfonos Google y Samsung supuestamente se envió con un error desagradable que podría haber permitido que las aplicaciones maliciosas capturar imágenes sin su autorización. Las empresas no se enteraron del error hasta principios de este año cuando los investigadores de Checkmarx las alertaron. También es algo bueno. Esto podría haber sido un gran lío si alguien lo explotara en la naturaleza.

El informe de Checkmarx es un poco sorprendente porque ya no estamos acostumbrados a ver errores de Android como este. Google implementó un sistema de permisos robusto en Android 6.0 Marshmallow, y ha estado fortaleciendo sus controles en versiones posteriores. Entonces, cuando las aplicaciones desean acceder a la cámara, los usuarios deben aprobar la solicitud. Sin embargo, Checkmarx encontró un método mediante el cual las aplicaciones podían tomar el control de la cámara en los teléfonos Google Pixel y Samsung Galaxy sin pedir permiso.

El problema se remonta a las funciones de inteligencia artificial de Samsung Bixby y Google Assistant y la forma en que se comunican con las aplicaciones de cámara integradas. En estos teléfonos, el usuario puede pedirle al asistente que tome una foto. Assistant y Bixby tienen un estado especial, por lo que no tienen que pasar por el diálogo de permisos habitual. Eso hace que la experiencia sea más fluida, pero también es donde una aplicación maliciosa podría tomar el control de su cámara.

Checkmarx demostró que una aplicación podía pretender enviar solicitudes de voz a través de Bixby o Assistant, pero en realidad, solo estaba accediendo a la cámara directamente. La aplicación podría enviar las fotos a una ubicación remota sin ni siquiera pedir acceso a la cámara. Puedes ver el ataque en acción arriba.

Checkmarx informó de la falla a Google y Samsung a principios de este año. Afortunadamente, no hay evidencia de que este ataque aparezca en la naturaleza y no tiene que preocuparse por la seguridad de su teléfono. Tanto Google como Samsung lanzaron versiones parcheadas de sus aplicaciones de cámara en julio de 2019 que evitan que las aplicaciones de terceros imiten las solicitudes de voz para acceder a la cámara. Entonces, el error está arreglado, pero en su punto máximo, habría afectado a millones de teléfonos. La mayoría de ellos habrían sido dispositivos Samsung, pero sigue siendo un poco embarazoso para Google, ya que con frecuencia señala problemas de seguridad en otras empresas.