Checkmarx, una firma de ciberseguridad enfocada en las aplicaciones para móviles, descubrió un fallo de seguridad —identificado como CVE-2019-2234— en Android que permitía, de manera remota, tomar el control de la cámara con el fin de tomar fotografías, grabar vídeo, capturar audio e incluso obtener la ubicación del terminal sin que el usuario hubiera otorgado los permisos necesarios.
Cabe señalar que, hasta el momento, se sabe que el error se encontraba presente en la cámara de Google y la de Samsung. Si bien otros fabricantes podrían haber quedado expuestos a la misma situación en su propias apps de cámara, la compañía de Corea del Sur fue la única en reconocer que la suya estaba involucrada. Checkmarx asegura que informó del fallo a los de Mountain View el pasado julio, y ese mismo mes en liberaron una actualización urgente para solucionarlo.
Google une fuerzas con empresas de seguridad para acabar con el malware en la Play Store
Teniendo en cuenta que la cámara de cualquier móvil es un componente esencial hoy en día, resulta realmente preocupante la gravedad del descubrimiento, pues se desconoce cuánto tiempo quedaron expuestos millones de teléfonos. De hecho, la vulnerabilidad permitía hacer las grabaciones en segundo plano. Es decir, si estabas realizando una llamada, se podía encender la cámara y el micrófono para espiar tu conversación. De igual manera funcionaba cuando el smartphone se encontraba bloqueado.
Para destapar el fallo, la empresa desarrolló una aplicación meteorológica que, al conectarse con un servidor remoto, descargaba el código malicioso para infectar un par de equipos que sirvieron en la prueba, los Pixel 2 XL y Pixel 3. No obstante, la propia Google confirmó que no era un fallo específico de esos modelos, sino de un inconveniente que podía extenderse hacia todo el ecosistema de Android.
Google informó a nuestro equipo de investigación que el impacto fue mucho mayor y que se extendió a una parte de Android más amplia, con otros proveedores como Samsung que han reconocido que estos defectos también afectan a sus aplicaciones de cámara y han comenzado a tomar medidas.
Una vez que los comandos se ejecutaban, era posible tomar el control total de las cámaras mencionadas. Ademas, la app maliciosa podía acceder a la memoria microSD para conseguir las fotos y vídeos. Por supuesto, el material obtenido podía transferirse a un servidor externo. Por ahora se desconoce si algún grupo de hackers aprovechó el fallo antes de ser descubierto por Checkmarx.
Google agradeció la colaboración de la firma, dejando claro que todo se solucionó en el menor tiempo posible: "El problema se abordó en los dispositivos de Google afectados por medio de una actualización desde la Play Store para la aplicación de la cámara de Google en julio de 2019. También se puso a disposición un parche para todos los socios". Samsung, por su parte, siguió una línea muy similar:
Desde que Google nos avisó de este problema hemos lanzado parches para todos los modelos de dispositivos Samsung que puedan verse afectados. Valoramos nuestra asociación con el equipo de Android que nos permitió identificar y abordar este asunto directamente.