Des chercheurs en sécurité ont découvert une importante faille de sécurité dans plusieurs applications d’appareil photo. Cette brèche, qui pourrait toucher des millions d’utilisateurs à travers le monde, permettrait à d’autres applications de faire des photos et des vidéos, mais aussi d’extraire les coordonnées GPS intégrées aux images déjà capturées, sans qu’aucune autorisation ne soit requise de la part de l’utilisateur.
Cette faille de sécurité, référencée sous le nom CVE-2019-2234, toucherait les applications Google Camera et Samsung Camera n’ayant pas été mises à jour depuis juillet 2019.
Les applications qui accèdent au stockage de l’appareil dans le viseur
L’équipe de chercheurs de Checkmarx, qui a déniché cette faille, a analysé l’application appareil photo du Google Pixel et découvert que plusieurs éléments permettant de faire communiquer les briques logicielles entre elles (les Intents), pouvaient être combinés par des applis tierces pour manipuler l’appareil photo du smartphone afin d’enregistrer des vidéos ou de capturer des images.
Des permissions spécifiques sont en principe nécessaires aux applications pour qu’elles soient en mesure d’accéder à l’appareil photo et de capturer des photos et des vidéos. Mais l’équipe de Checkmarx a découvert que les applis qui ont l’autorisation d’accéder au stockage de l’appareil peuvent également utiliser certains Intents de l’application appareil photo, sans l’autorisation de l’utilisateur.
Ils expliquent ainsi que les applications malicieuses qui ont accès au stockage de l’appareil peuvent non seulement accéder aux photos et vidéos stockées sur l’appareil, mais peuvent désormais utiliser cette nouvelle méthode pour prendre des photos et des vidéos de l’utilisateur et le localiser à l’aide des coordonnées GPS intégrées dans les données EXIF des photos et des vidéos enregistrées.
Une faille corrigée depuis cet été
Pour montrer l’importance de leur découverte, les chercheurs ont créé une fausse appli qui, comme de très nombreuses applications, peut demander l’accès au stockage de l’appareil pour fonctionner.
Sous couvert d’une application météo, leur création a silencieusement envoyé des photos, vidéos et des enregistrements d’appels vers l’un de leurs serveurs de démonstration.
Les auteurs de cette trouvaille ont alerté Google de leur découverte dès le 4 juillet. Google a ensuite confirmé l’importance de la faille et indiqué qu’elle touchait également l’application Camera d’autres marques, dont Samsung.
Une mise à jour corrective a été publiée fin juillet sur le Play Store pour l’ensemble des applications touchées.
Source :
Bleeping Computer
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.