The company Checkmarx discovered a very serious vulnerability in Android. This vulnerability would allow an attacker to spy on us through our phone's camera, taking photos and videos whenever the attacker wants and without us noticing.
Para encontrar estos errores, los investigadores de Checkmarx analizaron las aplicaciones de la cámara de los modelos de Pixel 2XL y Pixel 3, donde encontraron todo tipo de vulnerabilidades que permitían saltarse los permisos de acceso al sistema.
Esta vulnerabilidad ha recibido el código CVE-2019-2234 y permite a un atacante sacar fotos y vídeos desde una aplicación maliciosa que, en teoría, no tiene permisos para hacerlo. In addition, obtieneacceso a los archivos del dispositivo y a la ubicación GPS.
Los investigadores realizaron diferentes pruebas y concluyeron que podían sacar fotos y vídeos cuando el teléfono estaba bloqueado, con la pantalla apagada o, even, en medio de una llamada, por ende también guardaban el contenido de esa llamada.
Pixel devices may not be the only ones affected, since Google offers the base code of its camera app to other manufacturers and it is very likely that other devices have the same vulnerability.
Fortunately, the camera app has already been fixed in the latest version, so it is recommended to update it immediately.
We provide a video showing how this attack process works: