Les chercheurs en sécurité de la firme Checkmarx ont découvert une vulnérabilité majeure sur l'app Appareil photo des smartphones Android, ont-ils fait savoir dans un rapport divulgué en accord avec Google. Elle permettait aux développeurs d'apps malveillantes d'accéder à la caméra d'un smartphone dans le but de transformer l'appareil en un outil d'espionnage.

Pour les besoins de leur enquête, les chercheurs ont développé une fausse app météo, qui demandait une banale autorisation d'accès au stockage de l'appareil, mais elle était loin d'être inoffensive. Une fois installé, le logiciel créait une connexion avec un serveur distant et était capable d'effectuer une longue liste d'actions néfastes sans l'autorisation de l'utilisateur: capturer une photo ou une vidéo via le capteur du smartphone et la télécharger sur le serveur distant, enregistrer une conversation lors d'un appel audio tout en capturant des images, ou encore extraire les données GPS de toutes les photos et les utiliser pour géolocaliser le possesseur du smartphone. À noter que la capture des clichés et des vidéos ne nécessitait pas que l'app soit activée, que l'écran soit allumé, ni que l'appareil soit déverrouillé.

Des millions d'utilisateurs potentiellement concernés

Checkmarx a expliqué que Google a déployé un correctif en juillet dernier pour son app Caméra via une mise à jour dans le Play Store et qu'un patch a été déployé auprès des autres fabricants, comme la société Samsung. Cette dernière a ensuite procédé à la mise à jour de tous les modèles d'appareils affectés.

Outre ces deux entreprises, le nombre de fabricants de smartphones Android concernés par la vulnérabilité n'est pas connu. Mais avec ces deux seules sociétés, des millions d'utilisateurs pouvaient être affectés par le bug de sécurité. Ce dernier pourrait être dû au fait que l'appareil photo est devenu compatible avec les commandes vocales de Google Assistant.

