Une faille d’Android permet aux applications de vous espionner grâce à la caméra et au micro de votre smartphone. Elles peuvent prendre des photos, enregistrer des vidéos ou même vos conversations sans autorisation. Les données sont directement transférées sur des serveurs tiers à l’insu des utilisateurs.

5 bonnes pratiques pour réussir un Facebook Live



Cette vulnérabilité qui porte la référence “CVE-2019-2234’’ touche Google Camera, l’application Caméra de Samsung et potentiellement celles d’autres marques. En guise de preuve de concept, Checkmarx a développé une application météo comme n’importe quelle autre pouvant être téléchargée sur le Play Store.

Une fois installée, il était possible de prendre des photos et d’enregistrer des vidéos même lorsque l’écran est éteint ou que le smartphone est verrouillé. Le scénario se déroule par ailleurs normalement lorsque l’application malveillante est fermée.

Tout se fait de manière discrète sans déclencher le flash ou le son émis à la prise d’une photo. La faille permet également de récupérer la localisation GPS depuis les métadonnées des photos et vidéos. La caméra n’est pas le seul composant affecté par cette vulnérabilité.

Selon Checkmarx, les attaquants peuvent également accéder au microphone sans autorisation et enregistrer les appels téléphoniques et tout ce qui se dit autour de l’utilisateur. Les données sont ensuite transférées sur des serveurs tiers.

Enfin, il est également possible de lister et de récupérer toutes les photos JPG ou vidéos MP4 stockées sur la carte SD.

Google Maps : les indications vocales deviennent plus précises pour les piétons

Checkmarx a fait part de sa découverte à Google et Samsung en juillet dernier. A la suite de la publication du rapport le 19 novembre, Google a indiqué dans un communiqué que « le problème a été depuis résolu avec une mise à jour déployée sur le Play Store. Un correctif a également été mis à disposition de tous les partenaires ».

Samsung a aussi déclaré qu’un patch a été appliqué sur tous ses smartphones sans pour autant préciser quand cela a été fait.

Avec PhonAndroid