9VSA-00088-001 CSIRT advierte vulnerabilidad en dispositivos Android y Google

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida de diferentes fuentes, referente a una vulnerabilidad que afecta a la cámara de los dispositivos móviles utilizados para Android y Google. De ser explotada la vulnerabilidad, puede resultar en el uso no autorizado de la cámara para, entre otros, robar datos de los usuarios. El informe también incluye las respectivas actualizaciones para mitigar el riesgo.

 

Vulnerabilidad

CVE-2019-2234

 

Impacto

Una aplicación maliciosa podría tomar control de la cámara del dispositivo móvil, pudiendo grabar, tomar fotografías y obtener datos de localización, enviado esta información a al centro de control del atacante. Esta vulnerabilidad reside en los “intents” de la aplicación. Éstos, pueden ser utilizados por otras aplicaciones sin necesidad de permisos especiales. La aplicación maliciosa puede ejecutar la cámara a través de estos “intents”, pudiendo tomar fotografías y grabar videos cuando el dispositivo está bloqueado, e incluso cuando se encuentra en una llamada, permitiendo grabar el audio de la llamada.

 

Producto Afectado

Dispositivos Samsung y Google utilizando Android, además de Google Pixel, se ven afectados por esta vulnerabilidad.

Mitigación

Actualizar la aplicación Cámara a su última versión disponible en Play Store.

Enlaces

  • https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2234

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00088-001