Cientos de millones de usuarios de móviles Android en riesgo de ser grabados en secreto

• Un fallo en la cámara de Google permitía a los hackers espiar a los usuarios de Android.
• El error permitía a los ciberdelincuentes acceder a las cámaras de los móviles y tomar fotos y vídeos incluso estando bloqueados.
• Estas vulnerabilidades de la Cámara de Google también afectan a otros proveedores de smartphones con el sistema operativo Android, como Samsung.
• Google ha confirmado que el problema se solucionó en sus dispositivos afectados mediante una actualización en Play Store de la Cámara de Google en julio de 2019.
• Descubre más historias en Business Insider España.

Un equipo de investigadores de la firma de seguridad Checkmarx detectó una vulnerabilidad que afectaba a cientos de millones de usuarios de móviles Android. 

El fallo de seguridad que descubrieron los investigadores, catalogado con el código CVE-2019-2234, se encontraba en las aplicaciones de cámara de Google  y Samsung.

En concreto, esta vulnerabilidad permitía que un atacante se hiciera con el control de estas apps para tomar fotos, grabar vídeos, espiar las conversaciones de los usuarios de manera remota, acceder a la información del GPS del terminal y mucho más. Y todo ello sin que la víctima se diera cuenta de lo que está sucediendo. 

Para secuestrar la cámara de estos móviles, los atacantes solo tenían que hacer que el usuario instalase en el dispositivo una app maliciosa. Para llevar a cabo sus pruebas, los investigadores diseñaron una aplicación meteorológica sencilla, que después se conectaba a un servidor C&C del que descargaba los comandos maliciosos y al que enviaba los archivos personales del usuario.

Tal como pudieron comprobar los investigadores, este malware podía obligar a las apps de cámara de Google y Samsung a hacer fotos y grabar vídeos, incluso con el smartphone bloqueado y la pantalla apagada.

También demostraron que era posible iniciar la grabación de un vídeo durante una llamada de voz sin que la víctima se percatase, por lo que el delincuente podía escuchar la conversación.

Y esto no es todo. El equipo también descubrió que mediante la app maliciosa también era posible saltarse los permisos de almacenamiento de las aplicaciones de cámara.

Gracias a esto, un atacante podía acceder a todas las fotos y vídeos almacenados en la tarjeta microSD. Y en caso de que la ubicación estuviera habilitada para la cámara, también era posible rastrear la posición GPS del dispositivo y determinar su ubicación.

Leer más: Estos 10 móviles Xiaomi son los más vendidos en Amazon

En Checkmarx informaron a Google de sus hallazgos el pasado julio, y la compañía de Mountain View confirmó que efectivamente se trataba de una vulnerabilidad grave. Tras analizar el fallo, Google confirmó las sospechas de los investigadores de que otros proveedores podían estar afectados. La compañía informó a Samsung, quien confirmó que su app de cámara también estaba afectada. 

El mismo mes de julio se lanzó una actualización para solucionar el problema de seguridad en todas las apps de cámara afectadas.

Asegúrate de que tienes las actualizaciones al día para saber que estás protegido.