Des chercheurs ont créé une application Android pour démontrer qu'il était possible d'activer l'appareil photo, de prendre des clichés et d'enregistrer des vidéos ainsi que des sons sans le consentement de l'utilisateur du smartphone. Google et Samsung ont corrigé cette faille, mais d'autres constructeurs seraient concernés.

Cela vous intéressera aussi

Dans un article posté sur leur blogblog, des chercheurs en sécurité chez Checkmarx ont découvert une faillefaille grave qui affecte les smartphones de chez GoogleGoogle et Samsung. Le problème concerne l'applicationapplication Caméra qui permet à une application tierce d'accéder aux fonctions d'enregistrement sans autorisation.

Les chercheurs se sont d'abord intéressés à l'application Caméra sur les smartphones PixelPixel 2XL et Pixel 3, dans laquelle ils ont découvert plusieurs vulnérabilités permettant de contourner le système de permissions d'AndroidAndroid. Ils ont ensuite découvert le même problème dans les applications d'autres constructeurs Android, et plus spécifiquement chez Samsung. Cette faille concerne donc des centaines de millions de smartphones.

Des conversations enregistrées à l’insu des utilisateurs

Pour démontrer le potentiel de cette faille, les chercheurs ont créé une application qui demande une seule autorisation, celle d'accéder au stockage du smartphonesmartphone. Ils ont ensuite pu envoyer des commandes à l'application pour prendre et envoyer des photos, utiliser les métadonnées pour localiser le smartphone en prenant une photo afin d'en extraire les coordonnées GPS, enregistrer et envoyer une vidéo à l'insu de l'utilisateur, ils sont aussi parvenus à détecter les appels et même à enregistrer la conversation.

Les chercheurs ont notifié Google début juillet. La firme a publié une mise à jour de l'application le même mois et a mis un correctif à disposition de ses partenaires. Samsung a également publié une mise à jour et les utilisateurs doivent s'assurer via le Play Store que toutes les applications sont à jour. Il est cependant important de noter que les chercheurs mentionnent que d'autres constructeurs sont affectés sans les nommer et sans confirmer s'ils ont tous publié un correctif.