La compañía de ciberseguridad Checkmarx encontró, en julio, una vulnerabilidad en la app de cámara de Google que, de ser explotada, le permitía a un atacante tomar el control de la cámara, hacer fotos y grabar videos de manera remota, así como grabar conversaciones telefónicas, e identificar la ubicación del usuario.

Los investigadores crearon una prueba de concepto para testear esta vulnerabilidad: generaron una app maliciosa que explotaba uno de los permisos más habituales, el acceso al almacenamiento del celular.

Este es un premiso que muchas apps solicitan y, por definición, no debería generar problemas ni implicar la activación de la cámara de modo remoto, sin embargo, a raíz de esta falla, con la app maliciosa se podía saltear los límites.

La aplicación maliciosa lograba tener acceso irrestricto a las fotos y los videos almacenados, pero no sólo eso: sino que también podía activar la cámara cuando quisiese para grabar o tomar imágenes. Todo esto normalmente no debe ocurrir, pero al explotar la vulnerabilidad, vieron que podían eludir los permisos y así lograr tener control del dispositivo sin que el usuario lo supiese.

Esta aplicación maliciosa creada a modo de prueba por la empresa de seguridad consistía en dos partes: la app que se ejecutaba en el celular del usuario y un servidor de control y comando al que se conectaba para ejecutar las órdenes del atacante. Una vez que la aplicación se instalaba y se iniciaba, creaba una conexión persistente a ese servidor de comando y control que persistía incluso cuando la app estaba cerrada.

Los expertos en seguridad digital encontraron que los principales teléfonos inteligentes que sufrían de este problema eran los Google Pixel 2 XL y el Pixel 3. Luego también pudieron probar que esta misma falla estaba presente en la app de cámara de los móviles Samsung.

Ante la posibilidad de que este fallo de seguridad impactara a “millones de usuarios” de Android, la firma Checkmarx lo reportó a Google, quien realizó pruebas para verificar el error y, después de confirmarlo, generaron una una solución para este problema.

La compañía de Mountain View emitió una respuesta relacionada con el trabajo de los especialistas y con el fin de apaciguar los impetus de los usuarios: “Agradecemos que Checkmarx nos llame la atención y trabaje con los socios de Google y Android para coordinar la divulagación (...) El problema se abordó en los dispositivos afectados a través de una actualización de Play Store para la app de la cámara”.

Además, también señalaron que pusieron un parche a disposición de todos sus socios, con el fin de que lo pudiesen aplicar en todos los smartphones de sus catálogos. En este sentido, un consejo útil para no padecer de este tipo de problemas es que el usuario mantenga actualizado su aparato tecnológico hasta la última versión.