Пропуск в сигурността на Android дава контрол над камерата

Изследователят Шимон Сидор откри доста шокиращ пропуск в сигурността на Android, който позволява на приложения да активират камерата на устройството без ваше знание или позволение и да изпращат заснетия материал на външни сървъри. Сидор е успял да създаде приложение, което прави именно това, а най-интересното е, че то по никакъв начин не е откриваемо за собственика на устройството и дори не се появява в списъка с фоново активни приложения, така че потребителят не разбира, че смартфонът или таблетът в момента снима и публикува в интернет фото и видео.

Сидор е започнал своето проучване, след като е изследвал приложения в Play Store, които правят снимки, без видимо да активират камерата. Той е забелязал, че всяко от тях при инсталация все пак иска разрешение за достъп до камерата и също така се появява в списъка с активни приложения. Общо е било и изискването дисплеят да е активен по време на заснемането. Сидор обаче е намерил начин да заобиколи всичките тези изисквания, като използва пропуск в сигурността на Android, и да постигне заснемане без изрично разрешение, без показване на приложението в списъка с активни програми и без необходимост от включен дисплей.

Изискването на Android за показване на предварителен изглед на снимката пък е заобиколено, като изгледът е намален до 1 пиксел, което прави невъзможно неговото забелязване от страна на потребителя. Приложението на Сидор също така записва и други данни за устройството като ниво на батерията и местоположение на потребителя.

http://snacksforyourmind.blogspot.co.uk/2014/05/exploring-limits-of-covert-data.html