A falha, dada pelo CVE-2019-2234, deixa milhões de utilizadores Android vulneráveis a partir de câmaras da Google e Samsung.

Explorada com sucesso, permite que os atacantes gravem vídeos, tirem fotos, gravem chamadas de voz e rastreiem a localização do utilizador, mesmo que o dispositivo esteja bloqueado e o ecrã desligado.

Se falarmos especificamente nos smartphones da Google, com o pacote com.google.android.GoogleCamera package, os investigadores manipularam certas ações e descobriram que o atacante consegue controlar a app da google Camera e dessa forma tirar fotos e gravar jogos através de uma aplicação desconhecida que não tenha permissões. Conseguiram também descobrir que sob determinadas condições os atacantes podem ultrapassar várias políticas de permissão de forma a terem acesso a vídeos e fotos em armazenamento, assim como metadados relacionados ao GPS em fotos a partir de uma foto ou vídeo pela análise de dados EXIF.

Tanto a Google como a Samsung já forneceram entretanto patches de correção para o problema.

Mais informações no blogue dos investigadores: https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera