CVE-2019-2234: La grave vulnerabilidad de Android

El problema de seguridad que afecta a millones de dispositivos Android permite que las aplicaciones graben sin permiso previo de los usuarios.

Un grupo de investigadores de la empresa Checkmarx han encontrado una vulnerabilidad que afecta a las aplicaciones de Google Camera y Samsung Camera para Android. La vulnerabilidad (CVE-2019-2234) hacía que se saltasen los permisos de Android permitiendo que los atacantes tomasen el control de la cámara mediante un acceso remoto, lo cual pone en entredicho la seguridad de estos dispositivos.

Esta vulnerabilidad ha sido verificada mediante unas pruebas en las que se ha podido tomar control de la cámara, grabar audios, tomar fotos y vídeos sin permiso del propietario, saltándose la seguridad de Android.

Por otro lado, los expertos en seguridad han añadido la posibilidad de controlar el GPS teniendo localizado en todo momento al usuario o víctima. Los atacantes podrían aprovechar esta vulnerabilidad y enviar los datos a un servidor propio.

La vulnerabilidad afecta a cientos de millones de usuarios, ya que estas aplicaciones son muy utilizadas en todo el mundo, siendo una de las más graves que ha afectado al sistema creado por Google.

Desde Hard2bit os informamos que, afortunadamente, la empresa Checkmarx comunicó la vulnerabilidad en julio de 2019 a las respectivas empresas y Mountain View ha comunicado que la vulnerabilidad ha sido resuelta mediante una actualización desde Play Store.

Actualmente la empresa coreana Samsung no ha realizado ninguna declaración sobre dicha vulnerabilidad, por lo que parece que los nuevos Samsung ya tienen corregido el error anteriormente descrito.

En resumen, este tipo de vulnerabilidades son importantes de corregir y actualizar ya que permiten que apps, que normalmente no tienen permiso, tomen fotos y vídeos (aunque el móvil esté bloqueado), utilicen datos de ubicación GPS, escuchen conversaciones y silencien el obturador para que los usuarios no sientan la fotografía. Atentan directamente contra la libertad y privacidad de las personas tal y como registra la ISO 27001.

En Hard2bit aplicamos el estándar en la red corporativa para evitar que puedan existir fugas de información y garantizar la protección de datos.

Este tipo de información es importante para las empresas donde uno de los principales medios de trabajo es el uso del móvil empresarial. Los atacantes podrían tener acceso a los movimientos de los trabajadores, e incluso, grabar conversaciones robando información delicada.

Conclusión

Desde Hard2bit recomendamos tener siempre todas las aplicaciones y sistemas operativos actualizados en la última versión posible con soporte de desarrollo.

La mejor manera de demostrar que sus sistemas son seguros es mediante un sistema de gestión de la seguridad de la información certificado en ISO/IEC 27001. La decisión de implantar un SGSI y certificarse es imprescindible para trabajar con determinadas organizaciones.

Si su empresa necesita certificarse en ISO 27001 no dude en contactar con nosotros; le apoyaremos durante todo el proceso.

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *