BFM Tech

Une faille sur des smartphones Android permet à un inconnu d’accéder à l’appareil photo

Le Pixel 3 de Google

Le Pixel 3 de Google - BFMTV.COM

Des chercheurs en cybersécurité ont pu accéder aux fonctions de l’appareil photo de certains appareils, avec un risque d’espionnage des utilisateurs.

Si vous avez un smartphone Android signé Google ou Samsung, il est fortement recommandé de mettre à jour le système d’exploitation ainsi que l’application photo. Sur leur site, les chercheurs de l’entreprise Checkmarx annoncent la découverte d’une faille importante au sein des applications photo des deux marques (Google Camera et Samsung Camera), ouvrant la voie à des risques d’espionnage. D’autres fabricants - non spécifiés - sont également être concernés.

Enregistrer l’utilisateur à son insu

Comme l’expliquent les spécialistes en cybersécurité, une application malveillante installée sur le smartphone de la cible pouvait être utilisée pour accéder aux fonctions photo, vidéo et audio, enregistrant les faits et gestes du propriétaire de l’appareil à son insu. Et ce, y compris lorsque le smartphone était verrouillé. Une vidéo a été mise en ligne afin de montrer l’opération en détails.

L’application en question exploitait une faille touchant le système de permissions d’Android, qui empêche normalement tout logiciel tiers d’accéder à ces fonctions sans l’accord de l’utilisateur.

Toujours avec cette application, les chercheurs ont pu accéder aux fichiers stockés sur le terminal. Ils ont ainsi pu consulter l’ensemble des photos et vidéo enregistrées, mais également les métadonnées associées, qui contiennent par exemple la date, l’heure et l’emplacement de l’utilisateur lorsqu’il a pris un cliché.

Checkmarx affirme avoir envoyé ses résultats à Google début juillet. L’entreprise a rapidement reconnu l’importance de la faille et a pris contact avec l’ensemble des fabricants concernés pour déployer un correctif.

“Le problème a été corrigé sur les appareils concernés par le biais d’une mise à jour de l’application Google Camera sur le Play Store (le magasin d’applications d’Android, ndlr) en juillet 2019. Un correctif a également été mis à disposition de l’ensemble de nos partenaires” explique Google.

En octobre dernier, des spécialistes en cybersécurité avaient dévoilé l'existence de failles liées aux enceintes connectées de Google et d’Amazon, pouvant être exploitées pour espionner les utilisateurs. Les faiblesses logicielles peuvent également concerner des secteurs particulièrement sensibles. En juillet 2019, des chercheurs révélaient pouvoir modifier à distance la composition de gaz de certains masques anesthésiants connectés à Internet.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech