App Android possono scattare foto all'insaputa dell'utente

Un blogger informatico, Szymon Sidor, ha pubblicato un suo studio riguardo su come sia possibile per un app Android riuscire a scattare foto ad insaputa dell’utente ed ha realizzato anche un prototipo per dimostrarlo.

Il blogger ha realizzato un app che fa utilizzo della fotocamera tramite un servizio in background, per utilizzare la fotocamera è obbligatorio impostare una superficie di “preview” in modo che l’utente sia a conoscenza di quello che sta inquadrando e che la fotocamera è attiva. Il trucco trovato da Sidor è quello di utilizzare il display come preview impostando una dimensione di 1px x 1px nascondendo di fatto l’applicazione all’utente così da poter scattare foto a sua insaputa.

Ovviamente l’applicazione di cui fa parte questo servizio dovrà aver richiesto il permesso di utilizzare la fotocamera al momento dell’installazione, ma in ogni caso la vulnerabilità è molto grave dato che non sempre gli utenti prestano attenzione ai permessi e comunque in ogni caso una normale app che offre alcune funzioni basate sull’utilizzo della fotocamera potrebbe camuffare facilmente la richiesta del permesso in questione.

Ecco il video dimostrativo:




Reply