Last Updated:

Google confirme une menace de sécurité touchant la caméra des apareils sous Android : Des centaines de millions d'utilisateurs touchés

L'équipe de recherche en sécurité de Checkmarx a pris l'habitude de découvrir des vulnérabilités inquiétantes, avec des révélations antérieures sur Alexa et Tinder d'Amazon. Toutefois, une découverte des vulnérabilités affectant les smartphones Google et Samsung, avec un impact potentiel de centaines de millions d'utilisateurs Android, est la plus importante à ce jour. Qu'ont découvert les chercheurs ? Oh, seulement un moyen pour un attaquant de prendre le contrôle des applications de la caméra d'un smartphone et de prendre des photos à distance, enregistrer des vidéos, espionner vos conversations en les enregistrant lorsque vous levez le téléphone à votre oreille, identifier votre emplacement, et plus encore. Tout cela se fait en silence, en arrière-plan, sans que l'utilisateur n'en sache plus.

Vulnérabilités des applications camera Google et Samsung

Lorsque l'équipe de recherche en sécurité de Checkmarx a commencé ses recherches sur l'application Google Camera, sur les smartphones Pixel 2XL et Pixel 3 qui étaient à portée de main, elle a découvert plusieurs vulnérabilités. Tout cela a été déclenché par des problèmes permettant à un attaquant de contourner les permissions des utilisateurs.  "Notre équipe a trouvé un moyen de manipuler des actions et des intentions spécifiques ", a déclaré Erez Yalon, directeur de la recherche en sécurité chez Checkmarx, " permettant à toute application, sans autorisation spécifique, de contrôler l'application Google Camera. Cette même technique s'appliquait aussi à l'application Caméra de Samsung." Les implications de ces vulnérabilités, étant donné la présence des seuls smartphones Google et Samsung, représentaient une menace importante pour des centaines de millions d'utilisateurs.

Les vulnérabilités elles-mêmes (CVE-2019-2234) ont permis à une application malhonnête de saisir à distance les données de la caméra, du microphone et des coordonnées GPS. Les implications de cette possibilité sont suffisamment graves si bien que l'Android Open Source Project (AOSP) dispose spécifiquement d'un ensemble de permissions que toute application doit demander à l'utilisateur et être approuvée avant de permettre de telles actions. Ce que les chercheurs de Checkmarx ont fait, c'est de créer un scénario d'attaque qui abusait de l'application Google Camera elle-même pour contourner ces permissions. Ils l'ont fait en créant une application malveillante qui exploitait l'une des permissions les plus couramment demandées : l'accès au stockage. "Une application malveillante s'exécutant sur un smartphone Android capable de lire la carte SD, a dit M. Yalon, non seulement a accès aux photos et vidéos passées, mais avec cette nouvelle méthodologie d'attaque, elle peut être dirigée pour prendre de nouvelles photos et vidéos à volonté ".

Comment un attaquant pourrait-il exploiter ces vulnérabilités des applications Google Camera ?

Checkmarx a créé une preuve de concept (PoC) en développant une application malveillante, une application météo du type de celle qui est toujours populaire dans le Google Play Store. Cette application ne nécessitait pas de permissions spéciales autres que l'accès de base au stockage. En demandant simplement cette permission unique et banale, l'application ne provoquerait probablement pas la mise en alerte de l'utilisateur. Après tout, nous sommes conditionnés à remettre en question les demandes d'autorisation inutiles et volumineuses plutôt qu'une demande unique et commune. Cette application, cependant, était loin d'être inoffensive. Elle était composée de deux parties, l'application client s'exécutant sur le smartphone et un serveur de commande et de contrôle auquel elle se connecte afin de déclencher les ordres de l'attaquant. Une fois l'application installée et démarrée, elle crée une connexion persistante avec ce serveur de commande et de contrôle, puis se contente d'attendre les instructions. La fermeture de l'application n'a pas fermé cette connexion au serveur. Quelles instructions pourraient être envoyées par l'attaquant et quelles actions pourraient en résulter ? J'espère que vous êtes assis, car la liste est longue et inquiétante.

  • Prendre une photo à l'aide de l'appareil photo du smartphone et la télécharger sur le serveur de commande.
  • Enregistrer la vidéo à l'aide de la caméra du smartphone et la télécharger sur le serveur de commande.
  • Attendre le début d'un appel vocal en surveillant le détecteur de proximité du smartphone pour déterminer quand le téléphone est tenu à l'oreille et enregistrer l'audio des deux côtés de la conversation.
  • Pendant ces appels surveillés, l'attaquant peut aussi enregistrer la vidéo de l'utilisateur en même temps que la capture audio.
  • Capturer les balises GPS de toutes les photos prises et les utiliser pour localiser le propriétaire sur une carte mondiale.
  • Accéder et copier les informations photo et vidéo stockées, ainsi que les images capturées lors d'une attaque.
  • Fonctionner furtivement en faisant couper le son du smartphone pendant la prise de photos et l'enregistrement vidéo, de sorte qu'aucun bruit d'obturateur d'appareil photo n'alerte l'utilisateur.
  • L'activité d'enregistrement photo et vidéo peut être lancée, que le smartphone ait été déverrouillé ou non.

Le calendrier de divulgation de la vulnérabilité de l'application Google Camera

La publication de cette divulgation a été coordonnée avec Google et Samsung pour s'assurer que les deux avaient publié des correctifs pour les vulnérabilités. Cependant, dans les coulisses, les divulgations ont commencé le 4 juillet, lorsque Checkmarx a soumis un rapport de vulnérabilité à l'équipe de sécurité Android de Google. Le 13 juillet, Google a d'abord établi la gravité de la vulnérabilité comme étant modérée, mais à la suite d'autres commentaires de Checkmarx, elle a été portée à un niveau élevé le 23 juillet. Le 1er août, Google a confirmé que les vulnérabilités ont eu un impact sur l'écosystème Android plus large avec d'autres fournisseurs de smartphones touchés, et CVE-2019-2234 a été publié. Le 18 août, plusieurs fournisseurs ont été contactés et, le 29 août, Samsung a confirmé que la vulnérabilité affectait leurs appareils.

Que dit Google des vulnérabilités de l'application caméra ?

Contacté, un porte-parole de Google a déclaré : "Nous apprécions que Checkmarx porte cela à notre attention et travaille avec ses partenaires Google et Android pour coordonner la divulgation. La question a été abordée sur les appareils Google impactés via une mise à jour de Play Store à l'application Google Camera en Juillet 2019. Un patch a également été mis à la disposition de tous les partenaires."

Samsung a également été contacté en vue d'obtenir une déclaration concernant cette divulgation.  Pour l’instant, aucune réponse n'a été reçue. Toutefois, la divulgation des vulnérabilités a été retardée jusqu'à ce que Google et Samsung aient publié des correctifs, donc si vous possédez les dernières versions de votre application caméra  vous devriez être protégé contre ce scénario d'attaque.

La mise à jour vers la dernière version du système d'exploitation Android, en vous assurant d'avoir les dernières corrections de sécurité disponibles appliquées, et la dernière version de l'application caméra pour votre appareil est recommandée pour atténuer votre risque.

L’avis à couper le souffle d'un expert en matière de sécurité

Ian Thornton-Trump, expert en renseignements sur les cyber-menaces et membre du corps professoral de CompTIA à l'échelle mondiale, a donné son point de vue sur la gravité de cette divulgation de vulnérabilité et son rôle dans l'histoire plus large de la sécurité des smartphones. « Je suis resté bouche bée quand j'ai lu ce rapport sur la vulnérabilité de l'application caméra", dit Thornton-Trump, "cela ne ressemblait pas à une vulnérabilité, mais plutôt à une menace persistante avancée (APT) avec un logiciel espion complet". En effet, Thornton-Trump a observé que si les chercheurs en sécurité avaient été du genre black hat (les pirates du côté obscur, à opposer aux white hats), ils auraient pu facilement monétiser cette recherche pour des centaines de milliers de dollars. "Tout le monde est plus en sécurité aujourd'hui grâce à l'excellent travail et à l'intégrité des chercheurs de Checkmarx ", affirme M. Thornton-Trump.

Comme la plupart d'entre nous, Thornton-Trump est heureux que Google ait publié un correctif et l'ai fait rapidement, mais il déclare que, vu la gravité et la nature exhaustive des failles, "il est temps que Google applique peut-être certaines des fonctionnalités du "Projet zéro" pour approfondir l'OS Android lui-même". Il ne fait aucun doute que le nombre élevé de vulnérabilités Android divulguées nuit à la marque Android. Le récent problème de l'écran blanc de la mort n'a pas non plus aidé dans les enjeux de réputation. Google doit faire plus en ce qui concerne la sécurité et la confidentialité des appareils fonctionnant sous Android. En attendant, " toute personne ayant quelque chose à protéger doit mettre à jour immédiatement, " dit Thornton-Trump, " si vous ne pouvez pas mettre à jour l'appareil en raison de son âge ou d'un manque de soutien du fabricant, il est temps d'en acheter un autre ".

Vive l’obsolescence programmée…

Source : https://www.forbes.com/sites/daveywinder/2019/11/19/google-confirms-android-camera-security-threat-hundreds-of-millions-of-users-affected/