Android : une faille dans l’appli caméra affecte des millions de smartphones

Dans un article posté sur leur blog, des chercheurs en sécurité chez Checkmarx ont découvert une faille grave qui affecte les smartphones de chez GoogleGoogle et SamsungSamsung. Le problème concerne l'applicationapplication Caméra qui permet à une application tierce d'accéder aux fonctions d'enregistrement sans autorisation.

Les chercheurs se sont d'abord intéressés à l'application Caméra sur les smartphones Pixel 2XL et Pixel 3, dans laquelle ils ont découvert plusieurs vulnérabilités permettant de contourner le système de permissions d'AndroidAndroid. Ils ont ensuite découvert le même problème dans les applications d'autres constructeurs Android, et plus spécifiquement chez Samsung. Cette faille concerne donc des centaines de millions de smartphones.

Des conversations enregistrées à l’insu des utilisateurs

Pour démontrer le potentiel de cette faille, les chercheurs ont créé une application qui demande une seule autorisation, celle d'accéder au stockage du smartphone. Ils ont ensuite pu envoyer des commandes à l'application pour prendre et envoyer des photos, utiliser les métadonnées pour localiser le smartphone en prenant une photo afin d'en extraire les coordonnées GPS, enregistrer et envoyer une vidéo à l'insu de l'utilisateur, ils sont aussi parvenus à détecter les appels et même à enregistrer la conversation.

Les chercheurs ont notifié Google début juillet. La firme a publié une mise à jour de l'application le même mois et a mis un correctif à disposition de ses partenaires. Samsung a également publié une mise à jour et les utilisateurs doivent s'assurer via le Play Store que toutes les applications sont à jour. Il est cependant important de noter que les chercheurs mentionnent que d'autres constructeurs sont affectés sans les nommer et sans confirmer s'ils ont tous publié un correctif.