Google ha revelado que una vulnerabilidad en Android permitió a los hackers tomar el control de la cámara de nuestro dispositivo, pudiendo capturar fotos o grabar vídeo sin nuestro consentimiento. Por si fuera poco, esto también funcionaba incluso cuando la pantalla estaba apagada.
Este bug fue descubierto en pasado mes de julio por la compañía de ciberseguridad Checkmarx, y los resultados de su investigación fueron publicados el martes pasado en Ars Technica.
"Un atacante puede controlar la aplicación para tomar fotos y/o grabar vídeos a través de una app maliciosa que no tiene permiso para hacerlo".
Ya han solucionado este bug
Los investigadores de Checkmarx descubrieron este fallo de seguridad tras verificar que existían "problemas de omisión de permisos" tanto en un Google Pixel 2 XL y en un Pixel 3. Este fallo, bautizado como "CVE-2019-2234", se extendió a dispositivos de otros fabricantes (entre los cuales se encuentra Samsung).
Por su fuera poco, los investigadores aseguraron que "han encontrado que ciertos escenarios de ataque permiten a los actores maliciosos eludir varias políticas de permisos de almacenamiento, dándoles acceso a vídeos y fotos almacenadas".
Al poder acceder a este contenido multimedia, eso significa que también podrían haber leído los "metadatos GPS incrustados en las fotos", lo que podría haber permitido localizar al usuario gracias a las fotografías o vídeos que ha tomado.
Sobre el origen de este bug, un investigador de Checkmarx aseguró que no estaba claro por qué otras aplicaciones podrían acceder a la cámara sin el permiso del usuario. Sospechan que la causa podría ser la posibilidad de que la cámara se active mediante voz con el Asistente de Google.
Desde Checkmarx aseguran que este fallo de seguridad podría haber afectado a "millones de usuarios" de Android. Tras haber encontrado esta vulnerabilidad, la compañía se puso en contacto con Google, y fue en ese momento cuando verificaron que estaba presente en varios dispositivos Pixel.
Google ha confirmado la existencia de este fallo de seguridad, y han agradecido a los investigadores el trabajo realizado. El punto positivo es que ya lo han solucionado, mediante una actualización en julio de 2019.
Además, Google ha segurado que han puesto el parche a "disposición de todos los socios", para que así puedan aplicarlo en todos los dispositivos de su catálogo. Eso significa que es importante tener actualizadas las aplicaciones de nuestro dispositivo para asegurarnos que hemos instalado el parche.