L’appareil photo des smartphones Android souffrait d’une importante faille de sécurité. Celle-ci pouvait être exploitée par des applications espion pour enregistrer des vidéos (avec son) et prendre des photos afin de les envoyer sur un serveur à distance. Et ce, sans avoir aucune autorisation accordée. Les Google Pixel et les Samsung Galaxy ont eu droit à un correctif de la part de leurs constructeurs respectifs.
C’est ce qu’on l’on apprend dans une enquête publiée par le spécialiste de la sécurité Checkmarx et reprise par le site ArsTechnica.
Pas besoin des autorisations
Les chercheurs ont ainsi remarqué que les applications malveillantes n’avaient besoin d’aucune autorisation pour récupérer les contenus enregistrés via l’appareil photo. Seul un accès au stockage du smartphone devait être accordé, or il s’agit d’une des permissions les plus couramment obtenues.
La faille ne s’arrête pas là. En l’exploitant, les pirates pouvaient carrément connaître la position GPS de l’appareil attaqué si les données de géolocalisation étaient indiquées dans les métadonnées des photos et vidéos capturées. En juillet, Google a corrigé ce souci. Ce n’est qu’ensuite que Samsung a colmaté la brèche sur ses produits, mais on ne sait pas quand le géant sud-coréen a déployé son correctif.
La menace plane toujours
Voilà qui est donc assez rassurant. Hélas, Checkmarx signale que, selon Google, d’autres smartphones Android peuvent toujours être exposés à cette menace. Les noms des fabricants ou des modèles potentiellement concernés ne sont malheureusement pas communiqués.
« La capacité d’une application à récupérer les données de l’appareil photo, du microphone et de la position GPS est considérée comme hautement intrusive par Google lui-même », lit-on dans l’enquête. Pour les besoins de leur étude, les équipes de Checkmarx ont d’ailleurs développé une application exploitant la faille.
Voici ce qu’elle a été capable de faire :
- Prendre une photo sur le téléphone de la victime et la télécharger (la récupérer) sur le serveur
- Enregistrer une vidéo sur le téléphone de la victime et la télécharger (la récupérer) sur le serveur
- Analyser toutes les dernières photos des balises GPS et localisez le téléphone sur une carte du monde.
- Fonctionner en mode furtif, ce qui réduit le téléphone au silence pendant la prise de photos et l’enregistrement de vidéos.
- Attendre un appel vocal et enregistrer automatiquement :
- Vidéo du côté de la victime
- Audio des deux côtés de la conversation.
- Vidéo du côté de la victime
- Audio des deux côtés de la conversation.
Notons toutefois que lors d’une attaque, l’écran du smartphone affiche l’aperçu des images capturées ce qui devrait mettre la puce à l’oreille des victimes si elle remarque que l’appareil photo se déclenche tout seul.
La faute à Google Assitant ?
Google a salué le travail de Checkmarx.
Nous apprécions que Checkmarx porte ce souci à notre attention et travaille avec Google et ses partenaires Android pour coordonner la divulgation. Le problème a été traité sur les appareils Google impactés avec une mise à jour via Play Store de la caméra Google en juillet 2019. Un patch a également été mis à disposition de tous les partenaires.
Même son de cloche chez Samsung.
Comme nous avons été informés de ce problème par Google, nous avons par la suite publié des correctifs pour tous les modèles d’appareils Samsung qui pourraient être affectés. Nous apprécions notre partenariat avec l’équipe Android qui nous a permis d’identifier et de traiter directement cette question.
Contacté par ArsTechnica, le responsable de l’enquête de Checkmarx explique ne pas être sûr de la raison pour laquelle les applications malveillantes n’ont pas besoin d’autorisations pour exploiter la faille. Il émet cependant une hypothèse : la brèche pourrait être due au fait que Google a rendu l’appareil photo Android compatible avec les commandes vocales de Google Assistant et que d’autres fabricants ont emboîté le pas.
Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !
Lol
Tout le monde fait pas ça au lit dans le noir 😏
Comment ils peuvent avoir des photos de toi comme çà ? tu met ton écran loin et face à toi pour chier ou être à poil ??
"'il suffit de" Donc dans le cas précis de l'article, il suffit de désactiver Google Assistant.
Nan, c'est moins grave quand c'est Apple... https://www.numerama.com/tech/458878-apple-un-bug-grave-sur-facetime-permettait-decouter-votre-correspondant-avant-quil-reponde.html
Il est bien beau le tech info. Un vrai tech info ne blame pas toutes les marques comme tu le fais toi. Il est ouvert d'esprit, connais l'avantages et invonvénient de chacun mais n'est pas renfermé comme toi sur une marque à balancer à chaque commentaire n'importe quoi. T'es sur de n'être pas plutot un support hotline ? Tu sais, les gens qui suivent des procédures mais qui ne connaissent rien
Pète un coup... Ou alors c'est du troll...
Sauf que ton appli qui bloque la caméra fonctionne sur les droits non ?
Mais merrde, vous avez donc pas de dignité ? Retrouver des photos de toi a poil, tout rouge en train de poser une pêche, en train de culbuter ta femme, de tes gosses Arrêter de croire que parce que vous êtes des random ça n'intéresse personne
Et après on me ou nous traite de parano quand on dit qu'on a installer une appli bloqueur de caméra Qui c'est qui rigole maintenant ?
Mais qui a envie sérieusement de nous photographier ? Ce genre d'histoire ne concerne que des personnes à risque comme des journalistes 😂
Whoua... "technicien de support informatique"... Donc tu n'as qu'une vingtaine d'années à peine ?
Oui ! Mais l'application Caméra, c'est moi qui la lance !
Tu te sers de ton téléphone quand tu "culbute" ta femme ?
C'est chaud ces commentaires sur le Figaro !
Sinon il y a Bouncer, une appli qui permet d'accorder les droits (à l'espace de stockage par exemple) juste le temps de l'utilisation de l'appli et qui les annule instantanément à la fermeture ou après un temps donné et selon les droits que l'on souhaite.
Ma chère, s'ils devaient faire une liste des applications malveillantes, elle serait extrêmement longue. À toi de faire attention à c'que tu télécharges et où tu télécharges.
Tu te sens mieux ? Tu as enfin trouvé un endroit où tu as l impression, enfin, de ne pas.passer inaperçu ?
Neuneu
Quand plusieurs personnes se sentent agressés par tes propos , qu'ils n'ont plus envie de les subir et que tu reviens à la charge,c'est du harcèlement. Peu importe que des tares soient en accord avec tes inepties. Aller Android c est nul. Casses toi maintenant
En une semaine ???? Et un couac , n importe qui de tes contacts , TES contacts , pouvait écouter allègrement les inepties que tu racontes ici. Quand c est pas l'un c est un autre. Ras le bol de vos comptes de fanatiques. On a compris Android c est nul et apple c est génial. Android c est pour les pauvres et apple pour les riches Android c est pour les neuneus et apple pour les génies. En dehors de ça, tes commentaires n apportent rien d autres.. Ta pauvre vie, résumée en ,3 phrases
Bah non c'est juste que la première citation est fausse (se sont ceux qui achète des téléphones bas de gamme qui sont les premiers pigeons) alors que l'autre est prouvé tout le long de tes réponses
Exactement :)
Ouais j'ai vu quand on cherche mon prénom et mon nom on tombe facilement sur mes commentaires sur le Figaro dommage qu'il sorte pas au déçu de mon site car j'aimerai que tout le monde puisse les lire en premier
Corrigé en 1 semaine 😂😂😂 Pegasus ça vous parle ?
Mon adresse est sur mon profil facebook je t'attend ;)
C'est surtout un troll professionnel : http://plus.lefigaro.fr/page/adrian-sealelli-2 EDIT : en plus on trouve même facilement son adresse et son téléphone. alors tu devrais retirer tout ce que tu as dit sur profiter de l'anonymat :)
Qu'une app ait accès au storage, ca on sait. Cela existe depuis le début d'Android, quand j'ai vu votre news, je n'ai rien compris, car c'est le comportement d'Android, ce n'est pas une faille en tant que tel. Et vous découvrez surpris (sur frandroid quand même) que les applications qui ont accès au storage ont aussi accès aux photos prises avec le téléphone. Mais heuresement, vous n'avez juste effectivement rien compris à la news. https://www.xda-developers.com/google-samsung-camera-app-exposed-video-intents-third-party-apps/ "A malicious app could thus be constructed which would not have the CAMERA permission, yet would still be able to operate certain camera functions by routing them through these camera apps and taking advantage of their unprotected intents and exported activity."
Quand on commen par, voilà pourquoi je n'irais jamais sur Android, moi je comprends qu il ne deman rien et qu il sair déjà tout , en tout cas qu iln as besoin d aucune infos. Commence autrement et peut être qu on te répondra différemment . Une personne a été aimable mais je lui donne pas plus de 3 ou 4 réponses de ce type après avoir eu des gens qui n en nnon rien à battre si ce n est de dire , voilà pourquoi je n'irais jamais Android et sur un site android qui plus est...
"Grosse faille sur la caméra Android : seuls Google et Samsung l’ont corrigéé" Grosse faille des FRANDROID. On ne relit pas et c'est bien malheureux surtout pour un site qui traines des centaines de milliers de vues/jour. On n'écrit pas "corrigéé" mais "corrigée". VOus êtes quand même des branleurs les mecs. Et le plus fautif est le/la rédacteur(trice) en chef. Voilà pourquoi la France fonctionne mal : on a des incapables dans les entreprises.
Toi je te garanti que je vais te retrouver ...
On a compris, on a compris, t'inquiètes pas...
Je me fous également des fautes d orthographe en général, mais toi, le xi jin ping du donneur de leçon, apprend à écrire français et sans faute , au vu de ton QI , qui doit certainement voler très haut..
A part dire apple génial et Android caca, c'est à peu très ce que tu es capable de dire. Sur XDA, toi le tech informatique , tu tiendrais 10 secondes. Profites d avoir la possibilité de l ouvrir ici et cracher ta haine.
Tu t inventes une vie surtout. Et moi je suis la reine d angleterre
En même temps , ce site est trop permissif avec ces gens là qui se fichent de la tech ou des smartphones en général, ils sont là juste pour taper sur Android. Et comme ce site en est le principal instigateur avec ces articles à 2 balles chaque semaines de malwares touchant 10 personnes, et leur titres racoleurse ces gens là s en donne à coeur joie. Il y a pourtant autant à dire sur iOS mais ce site étant ouvertement pro apple ils zappent.. Dernier titre racoleur en date : Apple veut ECRASER Samsung dans les entreprises, et qui sont les 1ers à intervenir ?? Pauvre site Je n ai pas lu l article mais je suis prêt à parier que ce n'est même pas sous le ton de l ironie, qu'ils l espèrent même. Alors entendons nous bien , qu apple passe devant ou pas , il y a plus grave dans la vie hein. Néanmoins ce site possède un nom avec Android dedans. Il serait bon qu'ils s en souviennent parfois...
0 faille chez Apple... c'est bien connu.
Je n'ai rien compris à ce que vous dites et je ne vois pas à quel moment je dit que les gens n'ont pas le droit de commenter mais bon passons
Je suis technicien de support informatique donc la tech je risque de pas de m'en fichent comme tu le dis ;)
Sauf qu'il suffisais de désactiver facetime dans les paramètres et la faille a été corrigé en une semaine on est très loin de ce couac
Tu devrais pourtant, la même sur apple et c est tous les clients qui sont impactés, comme Facetime tu te souviens pas ?? La cela touche l appli caméra de Google et celle de Samsung. Xiaomi huawei et consorts , rien n est remonté encore. Cela devient lassant cette petite guerre... Si encore il n'y avait jamais aucun probleme de ce type sur iOS mais même pas.. https://www.google.com/amp/s/amp.lefigaro.fr/secteur/high-tech/2019/02/07/32001-20190207ARTFIG00267-des-applications-populaires-sur-iphone-enregistrent-votre-ecran-sans-vous-avertir.php
C'est marqué dans l'article : <blockquote>Les <b>Google Pixel</b> et les Samsung Galaxy ont eu droit à un correctif de la part de leurs constructeurs respectifs.</blockquote>
Mise à jour livrée la semaine dernière sur S8
#rage :D
Ok merci donc ça dépend de l'app caméra mise à jour ou non... pratique pour savoir si on est concerné ou pas... :/ J'espère que l'on aura un article un peu plus détaillé.
Vous parler d'une faille et d'application tiers, mais quelle sont les nons de ces applications malveillantes pour qu'on puisse les désinstaller ?
C'est clair.
Tu es le premier à être désagréable avec les autres, notamment lorsque tu traites les utilisateurs d'iPhone de pigeon. La moindre des choses quand on demande un minimum de respect, c'est d'être respectueux également.
J'ai sorti mon Galaxy S2 du tiroir (avec une petit coup de recharge)... rien du tout, pas d'update de la caméra #déception
My bad je ne savais pas que la dernière app Camera n'était pas dispo pour tous mais ils ont très bien pu corriger aussi leurs anciennes apps Camera de la même manière.
Je connais quelqu'un qui utilise encore un S3 et qui en est plutôt content.
non c'est juste dire que je ne suis pas d'accord avec toi sur la façon dont tu me "parles - écris". Pour te plaindre pour les downvote c'est par là : https://blog.disqus.com/bringing-back-downvotes
ok merci là c'est plus clair, donc ça concerne bien TOUS les galaxy. question bonus, pourquoi les autres modèles, donc hors galaxy, ne sont pas concerné par cette faille ?
C'est pas un patch de sécurité qui est nécessaire pour fixer la faille mais juste une update de l'app Camera via le PlayStore donc tout le monde a le fix.
De ce qu'on peu lire sur des sites un peu plus sérieux qu'ici (XDA). La faille n'était pas dans le system mais uniquement dans l'app Camera (via le system d'Intent peur ceux qui savent). Du coup c'est pas une faille générale à Android mais une mauvaise implémentation de l'app Camera qui va donc dépendre de chaque constructeur. Ca implique 3 choses : - C'est très rapide à corriger, juste besoin de pousser une update de l'app sur le PlayStore - Seuls certains constructeurs sont potentiellement touchés - Une app Camera non constructeur venant du PlayStore peut avoir la même faille Et en vrai c'est un type de faille qui peut arriver sur nimporte quel type d'app. Par exemple une app qui a la permission contacts pourrait exposer une Intent non sécure qui donne accès aux contacts à tout le monde. C'est à la charge du développeur de bien faire son travail.
J ai toujours un LG G2 à jour grâce à cyano , sorti a peu près en même temps que l'iPhone 6 , qui lui n est plus suivi' . Et pourquoi trouvés tu ça étrange ?? Les tonnes iPhones 6 que je vois régulièrement... Les 7 et les 8 je sais pas trop, j arrive pas à les différencier
Pourquoi tu veux avoir des failles ? ->>>>
Je vois encore des gens avec les tous premiers Galaxy J, alors un S4 ou même un S5, ça ne me choquerait pas que des gens l'aient encore si l'appareil fonctionne toujours. Doivent-ils pour autant être mis de côté sous pretexte qu'ils n'ont pas acheté le dernier modèle en date ? Je ne crois pas.
Ça me donne vraiment envie de passer à Android mdr
hé, ce n'est pas <b>ma </b>logique, c'est l'article qui dit <u>les</u> Samsung Galaxy, d'où ma question ! va falloir que tu apprennes à être un peu plus aimable, sinon tu vas finir en "ignoré" avec les 2/3 qui s'y trouvent déjà !
Le Galaxy S7 reçoit encore des patchs de sécurité, comme quoi c'est pas totalement insurmontable pour les constructeurs Android de proposer un suivi plus long.
<blockquote>Les Google Pixel et les <u>Samsung Galaxy</u> ont eu droit à un correctif de la part de leurs constructeurs respectifs</blockquote> La gamme Galaxy étant immense (A50 par exemple, S10, S10e, mais aussi ancienne Galaxy S4, S5 etc...) se serait bien de demander à Samsung s'ils ont réellement corrigé pour la <b>TOTALITE</b> des Galaxy disponibles (avec toutes leurs variantes par région) et de fournir leur réponse. Merci
Oui vous n'en faites jamais assez pour nous Omar ;o)))
Magnifique, c'est pas un bug c'est une feature de Google ca ^^
C'est bien beau d'alerter mais il aurait été sympa de savoir si le dernier patch donné par google apporte la correction ou pas.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix