Une faille Android permet aux applications d'accéder secrètement à la caméra et de télécharger les vidéos sur un serveur externe

Le Google Pixel 3, à gauche et le Google Pixel 4. Antonio Villas-Boas/Business Insider

Une faille dans le système d'exploitation d'Android permet à des applications malveillantes d'accéder en toute discrétion aux caméras des utilisateurs. Elles peuvent ainsi prendre des vidéos et des photos pour ensuite les télécharger sur un serveur externe. La faille a été découverte par la société de cybersécurité Checkmarx en juillet dernier. Ses conclusions ont été publiées sur son site, ce mardi 19 novembre, comme le rapporte le site Ars Technica. Selon Checkmarx, si Google et Samsung ont corrigé cette faille pour leurs appareils, Google estime que d'autres appareils Android pourraient encore être vulnérables. Pour l'heure, on ne sait pas exactement combien d'utilisateurs ont été touchés.

"Nous apprécions que Checkmarx ai porté cela à notre attention et que la société travaille avec les partenaires de Google et d'Android pour coordonner la divulgation de ces informations", a déclaré un porte-parole de Google à Business Insider US par e-mail. "La faille a été générée sur les appareils Google à cause d'une mise à jour de Google Camera sur Play Store. Elle a été détectée en juillet 2019. Un correctif a depuis été mis à la disposition de tous les partenaires." Un porte-parole de Samsung a également déclaré à Business Insider US que la société avait publié des correctifs pour résoudre le problème dès qu'elle a été informée par Google. "Nous recommandons à tous les utilisateurs de mettre à jour leurs appareils avec les logiciels les plus récents afin d'assurer le plus haut niveau de protection possible", a déclaré le porte-parole.

La faille permet également d'enregistrer des conversations et donne accès aux données GPS

Checkmarx a développé une application PoC (Proof-of-concept ou preuve de concept en français) afin de tester le pire scénario possible d'exploitation de la faille de sécurité. Les chercheurs ont découvert que leur application pouvait facilement contourner une restriction de sécurité destinée à empêcher l'accès à une caméra Android sans la permission de l'usager. En plus d'enregistrer secrètement des conversations et de la vidéo, leur application était aussi capable de suivre l'emplacement GPS des vidéos via leurs métadonnées. "Nous avons également constaté que ces failles du système ont un impact sur les applications caméra d'autres fournisseurs de smartphones liés à l'écosystème Android... ce qui tend à avoir des conséquences significatives pour des centaines de millions d'utilisateurs de smartphones", a écrit Erez Yalon, directeur de recherche chez Checkmarx dans le rapport de la société.

Voici comment vérifier si votre appareil Android est vulnérable :

  1. Mettez à jour les applications de votre téléphone. Un correctif a été mis en place pour tous les appareils Pixel et Samsung. Vous assurer que votre système d'exploitation et vos applications sont à jour est le meilleur moyen de garantir votre protection.
  2. Sur les téléphones Pixel, allez dans Settings > Apps and Notifications > Camera > Advanced > App Details. Si l'application a été mise à jour depuis juillet, vous êtes en sécurité.
  3. Si vous avez un appareil Android qui n'est pas un Pixel ou un Samsung, exécutez la commande détaillée ici. Si cela force votre téléphone à enregistrer une vidéo, c'est qu'il est vulnérable.

Vous pouvez lire l'intégralité de l'étude sur le site de Checkmarx.

Version originale : Aaron Holmes : Business Insider US

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : Huawei veut que ses smartphones restent sur Android le plus longtemps possible

VIDEO: On a testé le sommeil polyphasique — il modifie considérablement le mode de vie