partner serwisu

Android - luka w systemie Google pozwala aplikacjom wykonywać zdjęcia bez wiedzy użytkownika

Android - luka w systemie Google pozwala aplikacjom wykonywać zdjęcia bez wiedzy użytkownika
Autor:
Marek Kowalski
Data publikacji:
25 maja 2014, 13:02
Średnia ocena:
Twoja ocena:
Tagi:
android, aplikacje, bezpieczeństwo, google play, inwigilacja, malware, podsłuch, prywatność

Szymon Sidor, niezależny specjalista zajmujący się m.in. kwestiami bezpieczeństwa danych na platformach mobilnych opublikował informację o istotnej luce w zabezpieczeniach najpopularniejszego mobilnego systemu świata - Android. Jeżeli wykryta luka byłaby wykorzystana przez twórców złośliwego oprogramowania mogłoby to oznaczać umożliwienie im stałej inwigilacji praktycznie dowolnej liczby użytkowników smartfonów i tabletów z systemem Android. Dodajmy, tylko takich, które są wyposażone w kamery i aparaty cyfrowe, ale tym samym w praktyce problem dotyczy wszystkich mobilnych urządzeń z Androidem.

Problem odkryty przez wspomnianego eksperta sprowadza się do tego, że istnieje możliwość opracowania aplikacji, która działając w tle, bez wysyłania jakichkolwiek powiadomień do użytkownika będzie potrafiła wykonywać zdjęcia za pomocą wbudowanego w smartfon aparatu. Wykonane bez wiedzy użytkownika fotografie mogą być wysyłane na zdalny serwer.

Skąd wiadomo, że taka aplikacja może być opracowana dla aktualnie dostępnych wersji systemu Android? Bo Sidor właśnie to zrobił. Co prawda istnieją programy, które pozwalają wykonywać zdjęcia bez sygnalizowania tego faktu (np. ACLU-NJ Police Tape, czy Mobile Hidden Camera - obie w Google Play), ale w obu przypadkach fakt, że aplikacja działa jest widoczny, a ekran mobilnego urządzenia musi być włączony, by zdjęcia mogły być wykonywane. 

Teoretycznie Android nie umożliwia wykonania aplikacji robiącej zdjęcia, która pozbawiona byłaby modułu podglądu. Nie jest również możliwy trik czyniący podgląd "przezroczystym", czy przesłonięcie ekranu podglądu jakimś ekranem maskującym. Zabezpieczenie to udało się jednak obejść konstruując aplikację, której ekran podglądu ma rozmiar 1 piksela. Na współczesnych mobilnych ekranach o rozmiarach 5" i rozdzielczościach Full HD zobaczenie takiego punktu nawet przy pełnej świadomości działania takiej aplikacji jest niezwykle trudne. W przypadku gdy nie mamy pojęcia o działaniu programu - niemożliwe.

Kod opracowany przez Sidora (autor nie zamierza go publikować, by nie ułatwiać potencjalnym cyberprzestępcom działań) potrafi więcej, szczegóły na poniższym filmie.

Niewielkim pocieszeniem pozostaje fakt, że Google znacznie uszczelnił procedury umieszczania aplikacji w oficjalnym sklepie Google Play. Odsetek aplikacji, które mogą zawierać złośliwy kod jest - zgodnie z wynikami badań firmy F-Secure - mniejszy niż 0,1%. Jednak wciąż wielu użytkowników kuszonych funkcjonalnością narzędzi niedostępnych w oficjalnym obiegu korzysta z alternatywnych repozytoriów online zawierających aplikacje mobilne dla Androida. Wśród programów mobilnych udostępnianych poza sklepem Google Play odsetek złośliwych aplikacji jest znacznie większy i sięga ponoć nawet 33%.

Pozostaje mieć nadzieję, że specjaliści opiekujący się kodem Androida szybko załatają lukę umożliwiającą co bardziej sprawnemu agresorowi opracowanie aplikacji inwigilującej użytkowników smartfonów i tabletów z mobilnym systemem Google'a.