Passer au contenu

Un bug de Google Camera permet aux applications d’enregistrer des vidéos à l’insu de l’utilisateur

Une faille de sécurité trouvée dans Google Camera permettrait aux autres applications installées sur le smartphone d’enregistrer des vidéos sans l’autorisation de l’utilisateur. La vulnérabilité toucherait également l’application Samsung Camera.

Des chercheurs en sécurité ont découvert une importante faille de sécurité dans plusieurs applications d’appareil photo. Cette brèche, qui pourrait toucher des millions d’utilisateurs à travers le monde, permettrait à d’autres applications de faire des photos et des vidéos, mais aussi d’extraire les coordonnées GPS intégrées aux images déjà capturées, sans qu’aucune autorisation ne soit requise de la part de l’utilisateur.

Cette faille de sécurité, référencée sous le nom CVE-2019-2234, toucherait les applications Google Camera et Samsung Camera n’ayant pas été mises à jour depuis juillet 2019.

Les applications qui accèdent au stockage de l’appareil dans le viseur

L’équipe de chercheurs de Checkmarx, qui a déniché cette faille, a analysé l’application appareil photo du Google Pixel et découvert que plusieurs éléments permettant de faire communiquer les briques logicielles entre elles (les Intents), pouvaient être combinés par des applis tierces pour manipuler l’appareil photo du smartphone afin d’enregistrer des vidéos ou de capturer des images.

Des permissions spécifiques sont en principe nécessaires aux applications pour qu’elles soient en mesure d’accéder à l’appareil photo et de capturer des photos et des vidéos. Mais l’équipe de Checkmarx a découvert que les applis qui ont l’autorisation d’accéder au stockage de l’appareil peuvent également utiliser certains Intents de l’application appareil photo, sans l’autorisation de l’utilisateur.

Ils expliquent ainsi que les applications malicieuses qui ont accès au stockage de l’appareil peuvent non seulement accéder aux photos et vidéos stockées sur l’appareil, mais peuvent désormais utiliser cette nouvelle méthode pour prendre des photos et des vidéos de l’utilisateur et le localiser à l’aide des coordonnées GPS intégrées dans les données EXIF des photos et des vidéos enregistrées.

Une faille corrigée depuis cet été

Pour montrer l’importance de leur découverte, les chercheurs ont créé une fausse appli qui, comme de très nombreuses applications, peut demander l’accès au stockage de l’appareil pour fonctionner.

Sous couvert d’une application météo, leur création a silencieusement envoyé des photos, vidéos et des enregistrements d’appels vers l’un de leurs serveurs de démonstration.

S'abonner à 01net

Les auteurs de cette trouvaille ont alerté Google de leur découverte dès le 4 juillet. Google a ensuite confirmé l’importance de la faille et indiqué qu’elle touchait également l’application Camera d’autres marques, dont Samsung.

Une mise à jour corrective a été publiée fin juillet sur le Play Store pour l’ensemble des applications touchées.

Source :
Bleeping Computer

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Geoffroy Ondet
Sur le même sujet
Les dernières actualités
Whatsapp Cadenas
WhatsApp active la protection Passkeys sur iOS
Siri Ia Apple
Les nouveaux modèles IA d’Apple pourraient bien trouver une place dans l’iPhone
01net Morning
01net morning : droit à la réparation étendue en Europe, nouvelle Model 3 Performance, fin de la surtaxe des appels vers l’UE
Google Podcasts
Google Podcasts rejoindra le grand cimetière de Google le 23 juin
Chatgpt Invoquer Gpt Personnalisé
Plus inquiets qu’ailleurs par l’IA générative, les Français utilisent peu ChatGPT
Macbook Air 2020 M1
Offrez-vous le MacBook Air M1 à bas prix grâce à cette offre sur Cdiscount
Câbles fibre optique
Pourquoi certains appels vers l’UE ne seront bientôt plus taxés ?
Cookies Stevengiacomelli Pixabay
Nouveau report pour la fin des cookies publicitaires dans Chrome
Top téléchargements