Se ha encontrado una vulnerabilidad con respecto a la aplicación de cámara predeterminada de Google junto con muchas otras apps de cámara de diferentes proveedores, según revela un equipo de investigadores de seguridad que ha encontrado una manera de acceder al almacenamiento del teléfono para eludir los permisos de Android y, aunque la mayoría de los teléfonos ya han sido parcheados, es bueno saberlo para aquellos que usan aplicaciones cargadas lateralmente o ROM personalizadas sin actualizaciones.
Google hace que las aplicaciones de terceros soliciten permiso para acceder a las fotos y videos del teléfono, así como acceder a la aplicación de cámara predeterminada, pero los investigadores pudieron obtener permiso en una aplicación no autorizada sin el consentimiento explícito del usuario y al manipular acciones e intenciones específicas, el atacante puede obtener el control sobre el significado de la aplicación de la cámara, puede tomar fotos y grabar videos sin el consentimiento del usuario.
Además, bajo ciertas cirscunstancias también permiten al atacante obtener control sobre el almacenamiento del dispositivo, así como los metadatos GPS almacenados en EXIF de fotos y videos.
La puerta trasera se puede encontrar no solo en dispositivos Pixel sino también en teléfonos de otros proveedores, con Samsung en particular nombrado. La actualización se encontró en julio y el equipo de investigación contactó a Samsung y Google, que rápidamente emitieron parches para las aplicaciones de cámara de sus teléfonos.
Google también se ha puesto en contacto con todos los fabricantes de equipos originales sobre el exploit y ha distribuido un parche para que todos los que usan software oficial y sigan recibiendo soporte de su fabricante estén seguros.