Secondo un'indagine divugata da Checkmarx, alcuni dispositivi Android potrebbero presentare un bug di sicurezza senza patch che consentirebbe ad un'app malevola di registrare video all'insaputa dell'utente, utilizzando la videocamera e il microfono del dispositivo.

Per fortuna, finora non sono stati segnalati attacchi che sfruttano questo bug. Tuttavia, i ricercatori Checkmarx sono stati in grado di creare ed eseguire con successo comandi in grado di registrare da remoto le telefonate; acquisire foto, video e audio; accedere ai metadati GPS dalle foto; e persino verificare se il telefono era rivolto verso il basso. Questo significa che un giorno gli hacker potrebbero attaccare i dispositivi che eseguono una versione senza patch delle app predefinite della fotocamera di un dispositivo.

Google e Samsung hanno rilasciato patch per gli smartphone interessati già all'inizio di quest'anno, ma il rapporto di Checkmarx suggerisce che molti altri dispositivi Android potrebbero esserne ancora interessati. Fortunatamente, ci sono modi per verificare se il vostro dispositivo è stato "salvato" o se siete ancora a rischio.

Gli utenti Pixel possono verificare facilmente la patch: basterà aprire le impostazioni del dispositivo, quindi andare su App e notifiche -> Vedi tutte le app -> Fotocamera -> Avanzate -> Dettagli app, per aprire la pagina Google Play Store dell'app. Se l'applicazione è stata aggiornata da luglio 2019, siete al sicuro.

Se non siete sicuri che il produttore del vostro smartphone abbia rilasciato un aggiornamento per l'app della fotocamera che possa risolvere questo bug, un modo per scoprirlo è provare a sfruttare il bug stesso.

Quello di cui avrete bisogno:

• Un PC (funzionerà su Windows, Mac e Linux).
• Il vostro dispositivo Android.
• Un cavo USB per collegarli.

Una volta che avete a disposizione quei materiali, ecco cosa fare:

1. Innanzitutto, dovrete installare e configurare gli strumenti ADB sul vostro PC. Tutti i file e le istruzioni necessari per l'installazione di ADB per il sistema operativo del PC sono disponibili nei forum degli sviluppatori XDA.
2. Dopo aver installato e configurato ADB, collegate il vostro telefono Android al PC con il cavo USB. Successivamente, proveremo a utilizzare i codici per forzare il telefono a scattare video e foto senza accedere all'app della fotocamera del telefono.
3. Aprite il terminale di comando del PC. Su Windows: premete "Tasto Windows + R", quindi digitate "cmd" e premete "Esegui". Su Mac: premete "Command + Spazio" per aprire il Finder, quindi digitate "Terminale" e fate doppio clic sull'icona Terminale per eseguirlo.
4.  
5. Nella finestra del prompt dei comandi, eseguite i seguenti comandi uno alla volta:

$ adb shell am start-activity -ncom.google.android.GoogleCamera/com.android.camera.CameraActivity —ezextra_turn_screen_on true -a android.media.action.VIDEO_CAMERA —ezandroid.intent.extra.USE_FRONT_CAMERA true

Quindi:

$ adb shell am start-activity -ncom.google.android.GoogleCamera/com.android.camera.CameraActivity —ezextra_turn_screen_on true -a android.media.action.STILL_IMAGE_CAMERA —ez android.intent.extra.USE_FRONT_CAMERA true —eiandroid.intent.extra.TIMER_DURATION_SECONDS 3

Aprite poi l'app della fotocamera del telefono e andate nella libreria di foto / video per verificare se i comandi hanno funzionato. Se trovate una nuova foto o video, il bug è presente sul tuo dispositivo.

Se non aggiornate l'app della fotocamera del vostro dispositivo da un po' di tempo, provate a controllare gli aggiornamenti tramite il Google Play Store. Dopo aver installato tutto ciò che è disponibile per l'app della fotocamera predefinita del telefono, provate di nuovo i comandi ADB qui sopra. Se funzionano ancora, dovreste segnalare il problema al produttore del vostro dispositivo il prima possibile. Inoltre, state lontani da app sconosciute per la registrazione di video o audio, poiché questo è il metodo più probabile per gli hacker di inserire il codice dannoso sul vostro dispositivo e scattare alcune foto.

21 novembre 2019