El Asistente de Google en dispositivos Android podría ser engañado para tomar fotos y videos

-
Los comandos de voz para el Asistente de Google y Bixby de Samsung están diseñados para facilitar las tareas de las personas, pero también han abierto formas para que los posibles piratas informáticos puedan aprovechar su teléfono.

El martes, investigadores de la compañía de ciberseguridad Checkmarx revelaron vulnerabilidades en varios dispositivos Android, incluida la línea Pixel de Google y la serie Galaxy de Samsung. Las fallas de seguridad habrían permitido a los atacantes tomar fotos y videos en los dispositivos sin que la gente lo supiera, o escuchar o rastrear la ubicación, según Erez Yalon, director de investigación de seguridad de Checkmarx.

Si bien explotó el Asistente de Google, la vulnerabilidad afectó específicamente a los dispositivos Android porque estaba usando permisos de aplicaciones.

Checkmarx informó a Google y Samsung sobre el problema de seguridad en julio. Las dos compañías le dijeron a Checkmarx que solucionaron el problema en una actualización de Play Store el mismo mes. Si bien el parche está disponible, no está claro si todos los fabricantes de dispositivos afectados han emitido la solución.

"Agradecemos que Checkmarx nos llame la atención y trabaje con los socios de Google y Android para coordinar la divulgación", dijo Google en un comunicado. "El problema se resolvió en los dispositivos de Google afectados a través de una actualización de Play Store de la aplicación de cámara de Google en julio de 2019. También se puso a disposición un parche para todos los socios".

Samsung dijo que desde que Google le notificó el problema, lanzó parches para abordar todos los modelos de dispositivos potencialmente afectados. "Valoramos nuestra asociación con el equipo de Android que nos permitió identificar y abordar este asunto directamente", dijo Samsung en un comunicado.

A medida que los dispositivos adquieren funciones avanzadas como los comandos de voz, también introducen nuevas formas para que los piratas informáticos potenciales entren. a través de una ventana

"Cada cosa que entra en nuestros teléfonos debe considerarse una entrada desde el exterior, y realmente no podemos confiar en eso todo el tiempo", dijo Yalon. "La voz es definitivamente parte de la superficie de ataque. Se considera, pero ocurren errores".

Los investigadores de Checkmarx descubrieron que los asistentes de voz presentan una vulnerabilidad incluso sin que alguien hable. Para explotar la falla de seguridad, una aplicación solo tiene que enviar un código relacionado con la voz.

Si bien la mayoría de las aplicaciones necesitan permiso para tomar fotos o videos, los servicios de asistente de voz como Google Assistant y Bixby de Samsung se consideran software de confianza, por lo que no lo hacen. Por ejemplo, las aplicaciones de Android que usan la cámara deben tener permiso para ejecutar el comando "android.media.action.VIDEO_CAPTURE", explicó Yalon, pero Google Assistant ya tiene permiso.

Los investigadores descubrieron que cualquier aplicación podría aprovechar esa escapatoria.

Para demostrar un posible ataque, los investigadores de Checkmarx desarrollaron una aplicación meteorológica de apariencia inocente. La aplicación parecería dar el último pronóstico, pero en el fondo, podría enviar una solicitud de "voz" al Asistente de Google para tomar una foto o comenzar a grabar un video.

Pero nunca lo oirías: la aplicación lo estaba haciendo todo en el código, dijo Yalon. La aplicación maliciosa luego enviaría todo el contenido a un servidor controlado por los investigadores.

La vulnerabilidad también podría haber permitido el seguimiento de la ubicación y las escuchas, señaló Yalon. Esto se debe a que la mayoría de las fotos registran automáticamente las coordenadas GPS en los metadatos de la imagen. Aprovechando el sensor de proximidad de Google Pixel, que sabe cuándo su teléfono está cerca de su oído o boca abajo, la aplicación maliciosa también podría comenzar a grabar videos cuando sabe que una persona no está mirando la pantalla, capturando audio en segundo plano. .

Checkmarx incluso descubrió que la grabación podría comenzar durante una llamada telefónica. El único permiso que requería la aplicación de clima malicioso era el acceso al almacenamiento, que utilizaba para cubrir sus huellas.

"Con los permisos de almacenamiento, puedo eliminar cualquier cosa", dijo Yalon. "No habría senderos visibles disponibles. ¿Cómo sabrías que estaba espiando?".

-Demis Andres Caceres Morales

Comentarios

Publicar un comentario

Entradas populares de este blog

Huawei preparada para firmar acuerdos con el gobierno Indio para evitar temores acerca de espionaje

-
Imagen
Huawei, la gran empresa de telecomunicaciones china, que en las ultimas semanas ha sido acusada por Estados Unidos sobre posibles espionajes en la información sensible de los usuarios, esta mas que preparada para firmar acuerdos de "Sin puertas traseras" con el gobierno Indio. La tecnología "Sin puertas traseras" es la que permite acceso no autorizado a los datos de los consumidores. "Estamos listos para firmar acuerdos de "Sin puertas traseras". Les recomendamos a mas empresas firmar este tipo de acuerdos con el gobierno y los operadores de las telecomunicaciones", dijo Jay Chen, el CEO para las operaciones de India de Huawei. Huawei se ha aliado con Vodafone Idea en India para llevar a cabo los servicios 5G. Según la revista Mint de India, el CEO de Huawei dijo irónicamente: "Deberíamos dar gracias a Donald Trump y al gobierno Estadounidense por hacer que Huawei sea muy popular." -Demins Andres Caceres Morales
Leer más

¿Cómo se puede saber si una memoria cuántica es realmente cuántica?

-
Imagen
Las memorias cuánticas son dispositivos que pueden almacenar información cuántica para un momento posterior, que generalmente se implementa almacenando y reemitiendo fotones con ciertos estados cuánticos.  Pero a menudo es difícil saber si una memoria está almacenando información cuántica o simplemente clásica.  En un nuevo documento, los físicos han desarrollado una nueva prueba para verificar la naturaleza cuántica de los recuerdos cuánticos. Los investigadores, Denis Rosset, Francesco Buscemi, y Yeong-Cherng Liang, han publicado un artículo sobre el quantum  de memoria  de prueba en un número reciente de  la revista Physical Review X  . "Los recuerdos cuánticos son componentes indispensables de las redes de comunicación cuántica de larga distancia y potencialmente incluso en una computadora cuántica a gran escala", dijo a  Phys.org  Liang, físico de la Universidad Nacional de Cheng Kung en Taiwán  .  "Para que estos componentes sirvan a su propósito, es es
Leer más

Nuevas drogas que mejoran la vida

-
Imagen
La realidad virtual está ayudando a los químicos a descubrir nuevas drogas que mejoran la vida. ¿Qué cosa realmente necesitan los científicos para ayudarlos a descubrir nuevas drogas que salvan vidas? Realidad virtual Cielos azules, veteados de nubes, una interminable extensión de cuadrícula sobre la que apoyarse, y una molécula masiva: en el mundo virtual de descubrimiento de fármacos, por primera vez, los científicos pueden conocer de cerca las drogas que están diseñando. Agarrando una molécula virtual, flotando en el espacio delante de ellos, usando dos manos con forma de garra, el químico puede acercarse lo más posible a tocar la estructura deseada como lo hace (meta) físicamente. La compañía de descubrimiento de fármacos C4X Discovery (C4XD) ha desarrollado su propia herramienta de realidad virtual, 4Sight, para ayudar a su químico a visualizar la estructura de moléculas complejas y crear nuevas drogas. C4XD desarrolla nuevos medicamentos para enfermedades como el cánc
Leer más