Investigadores descobriram uma técnica que permitia a uma app maliciosa captar imagens e som, sem que fossem necessárias as permissões habituais para aceder a estes dados.
A técnica era simples mas engenhosa. Em vez de tentar aceder directamente à câmara e microfone - o que exige que o utilizador lhe desse as devidas permissões - a táctica foi de usar a app oficial do sistema. Mesmo sem qualquer permissão especial, uma app podia manipular a app da câmara para captar fotos ou gravar vídeo com áudio.
De seguida, a app precisa apenas da permissão de acesso ao storage, uma permissão "inofensiva" que normalmente é dada sem que se pense muito no assunto. E com isso, a app podia aceder às fotos e vídeos, analisá-los ou enviá-los para o atacante, ou até mesmo usar a informação EXIF das fotos para determinar a localização actual - mais uma vez, sem que fosse necessária a permissão de acesso à localização. A app até tinha o cuidado de usar o sensor de proximidade para detectar quando estava com o ecrã virado para baixo para entrar em actividade (já que o processo de gravação iria acender o ecrã e mostrar a app da câmara a funcionar).
A falha afectava a app da câmara da Google e da Samsung, que entretanto já foram corrigidas, mas poderá também afectar as apps da câmara de outros fabricantes. Mesmo tratando-se de uma técnica algo rebuscada, infelizmente estamos numa altura em que se vai descobrindo que as técnicas de espionagem utilizadas na realidade muitas vezes superam toda a ficção. E a perspectiva de poder aceder à câmara e vídeo de uma vítima, usando uma app que não pede permissões especiais e que podia ser instalada da Play Store, parece demasiado tentadora para ser ignorada.
Já agora a descoberta foi feita em Portugal, apesar da empresa ser Israelita. Boa parte do seu centro de investigação e desenvolvimento é feito cá.
ResponderEliminar