La firma de seguridad Checkmarx recientemente a revelado un fallo en la cámara de Android que hizo posible que aplicaciones de terceros espiaran a las personas. Los dispositivos Google y Samsung fueron afectados inicialmente, pero desde entonces han emitido parches para sus aplicaciones de cámara. Otros OEM aún pueden ser susceptibles a esta vulnerabilidad.
Según Checkmarx, el error permitió que aplicaciones no autorizadas graben videos, tomen fotos, graben audio y registren ubicaciones de GPS. Siempre que el usuario haya dado permiso a la aplicación para acceder al almacenamiento, también podría cargar los datos en un servidor remoto.
Esto es posible debido a cómo Android maneja los permisos de la aplicación. Desde Marshmallow, Android utiliza ventanas emergentes para permitir permisos de aplicaciones como el uso de la cámara y el micrófono. Las aplicaciones de cámara en los dispositivos afectados no necesitaban solicitar estos permisos, y los atacantes podían explotar esa funcionalidad para espiar a los usuarios de Android.
Checkmarx presentó inicialmente un informe de vulnerabilidad al equipo de seguridad de Android en Google en julio. En agosto, Google y Checkmarx contactaron a varios fabricantes con respecto a la vulnerabilidad, y Samsung confirmó que estaba afectada.
Google también ha confirmado que los socios de Android ahora tienen acceso a un parche para este defecto de la cámara. No ha confirmado públicamente quién ha sido afectado y si han emitido los parches o no. Lo que sí sabemos es que todos los teléfonos Google Pixel y Samsung Galaxy están oficialmente libres de esta vulnerabilidad.