Android : une faille permet de vous espionner avec la caméra et le micro de votre smartphone

Une faille d'Android permet aux applications de vous espionner grâce à la caméra et au micro de votre smartphone. Elles peuvent prendre des photos, enregistrer des vidéos ou même vos conversations sans autorisation. Les données sont directement transférées sur des serveurs tiers à l'insu des utilisateurs.

Android requiert des permissions spécifiques pour permettre aux applications d'accéder à la caméra et au micro des smartphones. Toutefois, une faille identifiée par des chercheurs de la société de sécurité Checkmarx permet de contourner les autorisations et d'espionner silencieusement les utilisateurs. Cette vulnérabilité qui porte la référence CVE-2019-2234 touche Google Camera, l'application Caméra de Samsung et potentiellement celles d'autres marques. En guise de preuve de concept, Checkmarx a développé une application météo comme n'importe quelle autre pouvant être téléchargée sur le Play Store.

Une fois installée, il était possible de prendre des photos et d'enregistrer des vidéos même lorsque l'écran est éteint ou que le smartphone est verrouillé. Le scénario se déroule par ailleurs normalement lorsque l'application malveillante est fermée. Tout se fait de manière discrète sans déclencher le flash ou le son émis à la prise d'une photo. La faille permet également de récupérer la localisation GPS depuis les métadonnées des photos et vidéos. La caméra n'est pas le seul composant affecté par cette vulnérabilité.

Selon Checkmarx, les attaquants peuvent également accéder au microphone sans autorisation et enregistrer les appels téléphoniques et tout ce qui se dit autour de l'utilisateur. Les données sont ensuite transférées sur des serveurs tiers. Enfin, il est également possible de lister et de récupérer toutes les photos JPG ou vidéos MP4 stockées sur la carte SD.

Lire également – Android : une faille de sécurité permet d’espionner tous vos appels

Samsung et Google ont déployé un correctif

Checkmarx a fait part de sa découverte à Google et Samsung en juillet dernier. A la suite de la publication du rapport le 19 novembre, Google a indiqué dans un communiqué que “le problème a été depuis résolu avec une mise à jour d'éployée sur le Play Store. Un correctif a également été mis à disposition de tous les partenaires”. Samsung a aussi déclaré qu'un patch a été appliqué sur tous ses smartphones sans pour autant préciser quand cela a été fait.

En dehors de Google et de Samsung, le rapport ne précise pas quels sont les autres constructeurs éventuellement affectés par cette vulnérabilité et aucune autre marque n'a confirmé être concernée. Dans tous les cas, les propriétaires d'appareils Android doivent s'assurer d'avoir installé la dernière mise à jour du système et celle de l'application caméra.

Source : Checkmarx