Kwetsbaarheid laat Android-apps ongemerkt foto’s nemen

Abonneer je gratis op Techzine!

Een student is erin geslaagd om een kwetsbaarheid in Android uit te buiten waardoor een app volledig ongemerkt toegang kan krijgen tot de camera en ongemerkt foto’s of video’s kan maken.

Vooralsnog hadden hackers alleen methodes ontwikkeld waarbij een applicatie op het scherm zichtbaar zou zijn bij het maken van een foto of video, tevens moet het scherm ingeschakeld zijn. Student Szymon Sidor ontwikkelde echter een methode waarmee beide criteria tot het verleden behoren, door een kwetsbaarheid in de beveiliging van Android uit te buiten. Sidor licht de kwetsbaarheid toe in onderstaande video.

Android vereist bij het nemen van een foto of een video dat een preview van het zoekveld zichtbaar is, om ervoor te zorgen dat de gebruiker weet dat de camera gebruikt wordt. Sidor slaagde er echter in om te code van een applicatie op zo’n manier te manipuleren dat het zoekveld constant getoond wordt op één enkele pixel. Ook hoeft het scherm hiervoor niet ingeschakeld te zijn.

Op die manier is de preview zo goed als onzichtbaar voor de gebruiker, die dan niks doorheeft wanneer en afbeeldingen gemaakt worden, die vervolgens bijvoorbeeld naar een server worden verzonden. De app van Sidor kan ook andere aspecten van het toestel vastleggen, zoals de acculading en locatiegegevens.

Sidor heeft contact opgenomen met Google, in de hoop dat de kwetsbaarheid snel wordt verholpen. Hij roept Android’s beveiligingsteam op om "zich meer in te zetten om de privacy van gebruikers te waarborgen".