Android : une vulnérabilité permet de vous espionner grâce à la caméra et au micro de votre smartphone
Une faille d’Android permet d’espionner les utilisateurs via la caméra et le microphone de leur smartphone. Découverte par la société de sécurité Checkmarx, la vulnérabilité était exploitable sans via des applications vérolées sans aucune autorisation et à l’insu des utilisateurs.
La faille permet d’accéder à l’application Google Camera et celle par défaut des smartphones Samsung. Selon la société Checkmarx, d’autres marques pourraient également être concernées. Concrètement, une application malveillante pourrait l’exploiter pour accéder à la caméra et de prendre des photos et vidéos à l’insu des utilisateurs. En temps normal, il faut des autorisations spécifiques d’Android pour chaque application afin qu’elle soit en mesure d’accéder aux différents composants du smartphone.
Toutefois selon Checkmarx, cette vulnérabilité à laquelle le code CVE-2019-2234 a été attribué permet de contourner les autorisations requises, ce qui représente un danger pour la vie privée des utilisateurs. Pour valider leur trouvaille, les chercheurs ont développé une application météo qui a été exploitée avec succès sur des smartphones de Google et de Samsung. Ils sont ainsi parvenus à :
- Déclencher la caméra de manière discrète et prendre des photos et vidéos même lorsque l’écran et éteint ou depuis l’écran de verrouillage
- Accéder au microphone dans les mêmes conditions pour enregistrer les conversations
- Extraire la localisation du smartphone depuis les métadonnées des photos et vidéos
- Lister toutes les photos JPG et vidéos MP4 et les récupérer depuis la carte SD
- Transférer toutes ces données sur des serveurs tiers.
Google et Samsung ont été alertés dès le mois de juillet et ont tous deux déclaré avoir déployé des correctifs. Le rapport de la société de sécurité ne précise pas quelques autres marques ont pu être touchées. Pour vous protéger, on vous recommande d’installer la dernière mise à jour d’Android sur votre smartphone.
Source : Checkmarx