Alors que Google se complaît à relever les failles de sécurité chez les appareils de ses concurrents, une entreprise de cybersécurité lui rappelle amèrement qu’il lui faut d’abord nettoyer sous son palier.
En effet, dans son article paru le mercredi 20 novembre 2019, The Next Web nous rapporte que des experts informatiques ont révélé l’existence d’un bug dans l’application Google Camera qui aurait permis à des pirates informatiques de détourner l’appareil photo de propriétaires d’appareils Android et de faire enregistrer des photos ou même des vidéos à leur escient.
Pire encore, ce bug aurait été exploitable même si le téléphone était verrouillé ou si l’écran était simplement éteint. Enregistrée sous la référence CVE-2019-2234, cette faille de sécurité a été relevée sur les appareils Pixel, mais également sur les smartphones d’autres fabricants comme Samsung.
Les chercheurs de Checkmarx affirment effectivement que grâce à ce bug « un attaquant pouvait contrôler l’application pour prendre des photos et/ou enregistrer des vidéos via une application non autorisée par l’utilisateur ou qui n’avait pas reçu l’autorisation de le faire ».
Fausse alerte ou alerte tardive ?
De plus, selon ces experts, certains scénarios d’attaques ont révélé que les pirates informatiques auraient même pu « contourner diverses règles d’autorisation de stockage » et ainsi accéder « aux vidéos, aux photos stockées ainsi qu’aux métadonnées GPS incorporées dans les photos pour localiser l’utilisateur en prenant une photo ou une vidéo et en analysant le contenu des données EXIF ».
Prévenu de l’existence du problème, Google a confirmé la présence du bug et a remercié les chercheurs. L’entreprise technologique a également assuré que le problème a déjà été résolu quelques mois auparavant.
Nous apprécions que Checkmarx nous le signale et travaille avec les partenaires Google et Android pour coordonner la divulgation. Le problème a été résolu sur les appareils Google impactés via une mise à jour de l’application Google Camera sur Play Store en juillet 2019. Un correctif a également été mis à la disposition des partenaires, a déclaré la firme dans un communiqué.
