Pesquisadores da Checkmarx, empresa especializada na análise de segurança de apps, anunciaram a descoberta de vulnerabilidades no Android que poderiam permitir a malfeitores criar um app malicioso capaz de forçar um smartphone a tirar fotos e gravar vídeos, mesmo sem as permissões específicas necessárias para isso.
A vulnerabilidade, que afeta os apps de câmera do Google (usado nos Pixel) e da Samsung, foi reportada aos fabricantes em 4 de Julho deste ano e nomeada CVE-2019-2234. Além da captura de fotos e vídeos, a falha poderia ser usada para localizar um aparelho ou usuário (tirando uma foto e extraindo as coordenadas de GPS armazenadas no cabeçalho EXIF da imagem) ou mesmo para gravar ambos os lados de uma chamada, usando os sensores para descobrir quando o aparelho é levado ao ouvido para iniciar a gravação.
O Google admitiu a falha em 13 de Julho, e no dia 23 reclassificou sua severidade como “alta”. Já a Samsung confirmou que seus aparelhos são afetados em 23 de Agosto. Segundo o Google, a falha foi corrigida em seus aparelhos através de uma atualização do app Google Camera em Julho deste ano. Um patch também foi disponibilizado a todos os fabricantes que utilizam o sistema operacional Android. De acordo com a Checkmarx, a Samsung também corrigiu a falha, mas não há informações sobre quando, ou como, a correção foi feita.
Fonte: Checkmarx