Bug de Android permite activar la cámara y capturar vídeos y fotografías remotamente

El ex ingeniero de Google Szymon Sidor acaba de encontrar un problemático loophole que permitiría a una aplicación maliciosa tomar el control de la cámara de tu dispositivo Android sin que tu lo supieras y subir las imágenes a un servidor desconocido.

Todo ese proceso se realizaría sin tu conocimiento, y sin ningún tipo de mensaje en pantalla y ninguna aplicación corriendo de cara al usuario.

Este problema de seguridad ha sido explotado a modo de demostración por parte de Sidor como se puede ver en el vídeo anterior.

Según parece Google requiere on-screen preview -la previsualización de la cámara - para que las apps capturen fotos. Sin embargo no hay un tamaño mínimo para esa previsualización de la cámara por pixel, lo que hace que aunque en un píxel (para que no te des cuenta de que está activa) no se pueda reproducir la previsualización de la cámara con claridad, sí que puede ser capturada y subida a un servidor cualquiera.

Se especula con que Google podría cerrar este problema mandando partes de esa previsualización de la cámara según porcentajes de pantalla.

Entre las sugerencias para evitar sufrir este problema mientras Google lo soluciona en su próxima actualización, se sugiere:

Echar un ojo a las aplicaciones que piden permiso de cámara

Utilizar sistema de verificación en dos pasos para evitar instalación de remota de apps

Eliminar aplicaciones sospechosas que utilicen más ancho de banda del necesario o que estén corriendo como servicio y no deberían

Más información | Szymon Sidor