Android ci spia attraverso la fotocamera?

E se le applicazioni Android ci spiassero attraverso le fotocamere dei nostri cellulari? È questo lo scenario che potrebbe svilupparsi da una nuova vulnerabilità che è stata recentemente scoperta – presente su moltissimi smartphone con sistema operativo Android come Google Pixel o Samsung – che potrebbe consentire ad applicazioni o mobile malware di scattare foto e/o registrare video in segreto senza che l’utente abbia dato alcun permesso in questo senso.

Potreste non averci fatto caso, ma il firmware sviluppato da Google utilizza un modello di sicurezza per le applicazioni che si basa principalmente sulle autorizzazioni concesse espressamente dall’utente. In base a queste – di norma – il device accederà o meno a servizi, funzioni o informazioni che l’utente ha voluto condividere. Ed è proprio in questi passaggi che è stata scoperta la vulnerabilità CVE-2019-2234, presente su milioni di app preinstallate che potrebbe essere sfruttata dai criminal hacker e potenziali aggressori per bypassare le restrizioni di sicurezza e accedere a telecamera e microfono del dispositivo bersaglio senza che la vittima abbia fornito alcuna autorizzazione a farlo.

Come potrebbe essere sfruttata la vulnerabilità?

Nello scenario d’attacco più plausibile un’app “canaglia” magari scaricata da App store non ufficiali (sempre e comunque sconsigliato) potrebbe richiedere – come da prassi – l’autorizzazione ad accedere alla memoria del dispositivo senza sollevare alcun sospetto da parte della vittima. 

Secondo chi per primo ha portato alla luce la vulnerabilità, semplicemente manipolando specifiche "action and intents" (i percorsi utilizzati dalla maggior parte dei software da mobile) un'applicazione dannosa può ingannare le altre app vulnerabili presenti sul nostro telefono e indurle a compiere azioni per conto dell'aggressore che può quindi rubare foto e video dalla memoria del dispositivo dopo essere stata scattata. Poiché le app per smartphone hanno già accesso alle autorizzazioni richieste, il difetto potrebbe consentire agli aggressori di scattare foto, registrare video, intercettare conversazioni e tracciare la posizione, anche se il telefono è bloccato, lo schermo è spento o l'app è chiusa. Come se non bastasse, alcuni scenari d’attacco potrebbero permettere a dei criminal hacker di bypassare anche le policy di salvataggio dei dati nella memoria interna; quindi non solo foto e video, ma anche metadati GPS a queste collegate – permettendo quindi agli aggressori di tracciare gli spostamenti della vittima. Questo tipo di vulnerabilità è stata riscontrata sia nell’applicazione Google Foto sia nella Samsung Camera.

La riprova

Ma non è solo speculazione, per dimostrare il vero livello del rischio di vulnerabilità per gli utenti Android, i ricercatori dietro la scoperta hanno creato un'applicazione “rogue proof-of-concept” (letteralmente di riprova del concetto) camuffata da app per il meteo che richiede solo il permesso di archiviazione di base.

L'App Proof of Concept si componeva di due parti: l'app client che girava su un dispositivo Android e il server C&C (Command-and-control) del team “aggressore” con cui l'app creava una connessione persistente in modo che la chiusura dell'app non interrompesse la connessione al server. Una volta sul telefono bersaglio l’applicazione è stata in grado di eseguire una lunga lista di attività dannose, tra cui:

• Dirottare l'applicazione fotocamera sul telefono della vittima per scattare foto e registrare video e poi caricarle sul server C&C;
  
  
• Recuperare i metadati GPS incorporati nelle foto e nei video memorizzati sul telefono per localizzare l'utente;
• Attendere le chiamate vocali e registrare automaticamente l'audio da entrambi i lati della conversazione e il video dal lato della vittima;
• Funzionare in modalità stealth mentre si scattano foto e si registrano video, in modo che non venisse emesso alcun suono dell'otturatore della fotocamera per avvisare l'utente.

Come se non bastasse l'applicazione dannosa era in grado di capire quando il sensore di prossimità del telefono si attivava per capire quando il telefono veniva appoggiato all'orecchio della vittima.

La risposta dei produttori

Per testimoniare il loro processo i ricercatori hanno anche pubblicato un video in cui dimostravano la vulnerabilità sugli smartphone Google Pixel 2 XL e Pixel 3 e hanno confermato che le vulnerabilità erano rilevanti per tutti i modelli prodotti dal colosso californiano. 

Il team di ricerca di ha anche riferito direttamente – attraverso un Responsible Vulnerability Disclosure – i suoi risultati a Google all'inizio dello scorso luglio, sempre fornendo il video e il Proof of Concept. Di contro la società fondata da Larry Page e Sergey Brin ha preso nota della vulnerabilità presente sui suoi smartphone Pixel e ha reso disponibile un aggiornamento per “chiudere la falla”. In aggiunta Google ha contattato tutti gli altri produttori che sfruttano il suo sistema Android e le suo derivazioni – declinando di menzionare i brand coinvolti – per informarli della problematica (che nel frattempo era stata classificata come alta). Ma non è stata la sola Google a finire al centro del mirino. Il team di ricerca ha anche segnalato la stessa vulnerabilità su Samsung, che ha ugualmente confermato e risolto il problema alla fine dello scorso agosto.

Tutto è bene quel che finisce bene insomma? In parte, ovviamente è assolutamente consigliato aggiornare regolarmente i propri dispositivi e le proprie applicazioni alle ultime versioni; processo che di fatto a “chiuso” questa vulnerabilità, ma il timore che un’altra criticità simile possa sfuggire o che venga scovata da persone meno responsabili del team che l’ha portata alla luce. Ci sono gruppi di criminal hacker, in particolare quelli sponsorizzati dagli Stati, che avrebbero potuto mettere in piedi dei network di spionaggio industriale, militare o politico se per primi si fossero imbattuti nella falla…gli scenari sono veramente tantissimi e tutt’altro che rassicuranti.