L’appareil photo Android souffrait d’une grosse faille de sécurité laissant des applications malveillantes enregistrer des photos et vidéos pour les envoyer sur des serveurs distants à l’insu de l’utilisateur. Google et Samsung ont corrigé le souci, mais des smartphones d’autres marques pourraient toujours être exposés.

L’appareil photo des smartphones Android souffrait d’une importante faille de sécurité. Celle-ci pouvait être exploitée par des applications espion pour enregistrer des vidéos (avec son) et prendre des photos afin de les envoyer sur un serveur à distance. Et ce, sans avoir aucune autorisation accordée. Les Google Pixel et les Samsung Galaxy ont eu droit à un correctif de la part de leurs constructeurs respectifs.

C’est ce qu’on l’on apprend dans une enquête publiée par le spécialiste de la sécurité Checkmarx et reprise par le site ArsTechnica.

Pas besoin des autorisations

Les chercheurs ont ainsi remarqué que les applications malveillantes n’avaient besoin d’aucune autorisation pour récupérer les contenus enregistrés via l’appareil photo. Seul un accès au stockage du smartphone devait être accordé, or il s’agit d’une des permissions les plus couramment obtenues.

La faille ne s’arrête pas là. En l’exploitant, les pirates pouvaient carrément connaître la position GPS de l’appareil attaqué si les données de géolocalisation étaient indiquées dans les métadonnées des photos et vidéos capturées. En juillet, Google a corrigé ce souci. Ce n’est qu’ensuite que Samsung a colmaté la brèche sur ses produits, mais on ne sait pas quand le géant sud-coréen a déployé son correctif.

La menace plane toujours

Voilà qui est donc assez rassurant. Hélas, Checkmarx signale que, selon Google, d’autres smartphones Android peuvent toujours être exposés à cette menace. Les noms des fabricants ou des modèles potentiellement concernés ne sont malheureusement pas communiqués.

« La capacité d’une application à récupérer les données de l’appareil photo, du microphone et de la position GPS est considérée comme hautement intrusive par Google lui-même », lit-on dans l’enquête. Pour les besoins de leur étude, les équipes de Checkmarx ont d’ailleurs développé une application exploitant la faille.

Voici ce qu’elle a été capable de faire :

  • Prendre une photo sur le téléphone de la victime et la télécharger (la récupérer) sur le serveur
  • Enregistrer une vidéo sur le téléphone de la victime et la télécharger (la récupérer) sur le serveur
  • Analyser toutes les dernières photos des balises GPS et localisez le téléphone sur une carte du monde.
  • Fonctionner en mode furtif, ce qui réduit le téléphone au silence pendant la prise de photos et l’enregistrement de vidéos.
  • Attendre un appel vocal et enregistrer automatiquement :
    • Vidéo du côté de la victime
    • Audio des deux côtés de la conversation.

Notons toutefois que lors d’une attaque, l’écran du smartphone affiche l’aperçu des images capturées ce qui devrait mettre la puce à l’oreille des victimes si elle remarque que l’appareil photo se déclenche tout seul.

La faute à Google Assitant ?

Google a salué le travail de Checkmarx.

Nous apprécions que Checkmarx porte ce souci à notre attention et travaille avec Google et ses partenaires Android pour coordonner la divulgation. Le problème a été traité sur les appareils Google impactés avec une mise à jour via Play Store de la caméra Google en juillet 2019. Un patch a également été mis à disposition de tous les partenaires.

Même son de cloche chez Samsung.

Comme nous avons été informés de ce problème par Google, nous avons par la suite publié des correctifs pour tous les modèles d’appareils Samsung qui pourraient être affectés. Nous apprécions notre partenariat avec l’équipe Android qui nous a permis d’identifier et de traiter directement cette question.

Contacté par ArsTechnica, le responsable de l’enquête de Checkmarx explique ne pas être sûr de la raison pour laquelle les applications malveillantes n’ont pas besoin d’autorisations pour exploiter la faille. Il émet cependant une hypothèse : la brèche pourrait être due au fait que Google a rendu l’appareil photo Android compatible avec les commandes vocales de Google Assistant et que d’autres fabricants ont emboîté le pas.