Falle scoperte in applicazioni per sistemi Google Android ed Apple iOS avrebbero consentito ad attaccanti di attivare la telecamera dei dispositivi all’insaputa degli utenti.
La privacy di centinatia di milioni di utenti Android ed iOS Apple potrebbe essere stata violata in passato a causa di una serie di vulnerabilità che aprono a nuovi inquietanti scenari.
Iniziamo dagli utenti Apple iOS, da sempre convinti che il loro telefono sia impenetrabile.
La scorsa settimana un utente di nome Joshua Maddux ha fatto una scoperta inquietante mentre accedeva a Facebook con il suo iPhone.
Maddux ha infatti scoperto che l’app di Facebook attivava all’insaputa dell’utente la telecamera mentre era in uso.
Il ragazzo ha pubblicato su Twitter un filmato che mostra come la telecamera del suo iPhone si è attivata mentre utilizzava l’app Facebook:
Found a @facebook #security & #privacy issue. When the app is open it actively uses the camera. I found a bug in the app that lets you see the camera open behind your feed. Note that I had the camera pointed at the carpet. pic.twitter.com/B8b9oE1nbl
— Joshua Maddux (@JoshuaMaddux) November 10, 2019
“Il problema si presenta a causa di un bug che mostra il video della camera del cellulare in una piccola striscia sul lato sinistro dello schermo, quando si apre una foto nell’app e si scorre verso il basso. I giornalisti del sito The Next Web sono stati in grado di riprodurre autonomamente il problema.” Ha riferito The Next Web.
Maddux ha verificato che il problema si presentava utilizzando l’app Facebook su dispositivi Apple iPhone che utilizzavano una versione del sistema operativo iOS 13.2.2, la falla non impatta invece la iOS versione 12.
“Ho notato che dispositivi iPhone che utilizzano la versione iOS 12 non mostrano il medesimo problema con la fotocamera”, ha detto Maddux.
Ulteriori verifiche hanno consentito al personale di TNW di verificare che il problema si presenta solo se gli utenti hanno concesso all’app di Facebook il permesso di accedere alla videocamera.
Appreso della vulnerabilità, Facebook ha confermato la presenza della stessa nella sua applicazione, confermando che la falla interessa solo l’ultima versione del sistema operativo iOS.
“Non abbiamo evidenza di foto o video caricati a causa di questo errore”, ha dichiarato un portavoce della società.
Facebook ha immediatamente lavorato al rilascio di una patch per risolvere il problema, e nella stessa settimana il sito web The Verge ha confermato la risoluzione del problema da parte dell’azienda.
Gli utenti Apple che hanno installato l’app Facebook sul loro iPhone sono quindi invitati ad aggiornare l’app, installando l’ultima versione presente nell’ App Store.
Le altre vulerabilità scoperte
Mentre Facebook risolveva il problema, una serie di falle scoperte dagli esperti dell’azienda di cybersecurity Checkmarx hanno scoperto molteplici vulnerabilità nelle app per fotocamere Android fornite da Google e Samsung che avrebbero potuto consentire di spiare centinaia di milioni di utenti.
Le vulnerabilità, tracciate collettivamente come CVE-2019-2234, avrebbero consentito ad eventuali attaccanti di condurre diverse attività all’insaputa dell’utente, tra cui la registrazione di video, lo scatto di foto, la registrazione di chiamate vocali, il monitoraggio della posizione del dispositivo.
Le vulnerabilità potrebbero essere sfruttate dalla attori melevoli persino se il telefono è bloccato e lo schermo è spento.
I ricercatori hanno inizialmente analizzato i dispositivi Pixel 2 e Pixel 3 di Google, quindi hanno esteso le loro scoperte all’applicazione della fotocamera installata sui telefoni Samsung.
“È possibile per qualsiasi applicazione, senza autorizzazioni specifiche, controllare l’app Google Camera sviluppata per Android e forzarla a scattare foto e / o registrare video, anche se il telefono è bloccato e lo schermo è spento” recita la ricerca condotta da Checkmarx.
Le vulnerabilità potevano consentire ad un’applicazione malevole installata sul telefono della vittima di assumerne il controllo dell’app della fotocamera e spiare gli utenti senza alcuna autorizzazione speciale.
Gli esperti hanno concentrato la loro analisi su un’applicazione della fotocamera installata su smartphone Google (pacchetto com.google.android.GoogleCamera) alla ricerca di eventuali vulnerabilità.
I ricercatori hanno anche scoperto che in determinate condizioni, gli attaccanti possono eludere varie politiche di autorizzazione alla memorizzazione dei contenuti per accedere a video e foto archiviati sul dispositivo, nonché ai metadati GPS incorporati nelle foto.
Gli esperti hanno sviluppato una applicazione (PoC) per previsioni meteo, priva di autorizzazioni specifiche, che stabiliva una connessione persistente con il server dell’attaccante ed in grado di esfiltrare qualsiasi tipo di dati dal telefono, anche quando l’app era stata chiusa.
Di seguito il video che mostra l’attacco:
I ricercatori hanno segnalato le falle a Google all’inizio di luglio e la società ha confermato che una patch di sicurezza era stata rilasciata nello stesso mese. Samsung ha risolto il problema con le medesime tempistiche.
Come proteggersi
Mentre ci si interroga sul reale livello di sicurezza dei dispositivi mobili, gli esempi citati dimostrano quanto siamo realmente esposti a falle presenti nelle applicazioni che utilizziamo quotidianemente. I dispositivi mobili custodiscono un quantitativo enorme di informazioni degli utenti che se accedute da attaccanti possono consentire di porre gli utenti sotto stretta sorveglianza.
E’ indispensabile acquisire consapevolezza della minaccia e prestare attenzione all’uso dei dispositivi mobili e delle app che vi installiamo.
E’ importante aggiornare sempre il sistema operativo ed installiamo l’ultima versione delle app, ed ovviamente installiamo applicazioni di sicurezza come facciamo col nostro desktop.
