Il post seguente è stato tradotto grazie all’esplicita autorizzazione di Naked Security
Sì, le fotocamere dello smartphone possono essere usate per spiarvi, se non fate attenzione.
Un ricercatore afferma di aver scritto un’app Android che scatta foto e video con una fotocamera dello smartphone anche quando non è attiva: uno strumento piuttosto utile a una spia, o a un inquietante stalker.
Lo studente universitario Szymon Sidor ha affermato in un post sul blog e in un video che la sua app Android utilizza una piccola schermata di anteprima, solo 1 pixel x 1 pixel, che consente alla fotocamera di rimanere in esecuzione in background.
Ora che la maggior parte degli smartphone sono dotati di una fotocamera, (o due) e il loro utilizzo è popolare grazie ad app come Instagram che incoraggiano la condivisione di foto, è un po’ sorprendente che ci sia voluto così tanto affinché gli hacker trovassero modi subdoli per sfruttarle.
Spyware di questo tipo girano da parecchio su Windows: il malware chiamato Blackshades, ad esempio, che gli hacker hanno usato per registrare in segreto le vittime con la webcam del proprio computer.
Ma questo sembra essere il primo caso conclamato di un’applicazione Android che può effettuare un hijack di una fotocamera di uno smartphone, o di un tablet, per lo stesso subdolo scopo.
Secondo Sidor, il sistema operativo Android non consente alla fotocamera di registrare senza effettuare un’anteprima: ecco come Sidor ha scoperto di poter fare un’anteprima così piccola da risultare effettivamente invisibile ad occhio nudo.
Sidor ha dimostrato come funziona l’app in un video, con il suo smartphone Nexus 5.
Il risultato è stato incredibile quanto spaventoso: il pixel è praticamente impossibile da individuare sullo schermo del Nexus 5 (anche se si sa dove guardare)!
Inoltre, anche se si spegne lo schermo, è ancora possibile scattare foto, a patto che il pixel sia ancora lì.
“Permettere alla fotocamera di funzionare in background, senza un indicatore nella barra di notifica, è “imperdonabile” e dovrebbe essere risolto dal team Android di Google”, ha commentato Sidor nel post del suo blog.
Spie Selfie
Ci sono altre app spyware per Android facilmente disponibili, come mSpy, che permettono agli spioni di accedere all’attività di un dispositivo, come i messaggi di testo, la localizzazione e persino effettuare registrazioni audio.
Questo è uno dei primi casi, comunque, di un’app che utilizza con successo la fotocamera dello smartphone all’insaputa dell’utente.
Ma soltanto perché questa vulnerabilità Android è qualcosa che i ricercatori hanno scoperto recentemente, non significa che altri non abbiano cercato di sfruttarla per causare danni.
Nel marzo 2014, abbiamo segnalato per Naked Security, un’app spyware per Google Glass che potrebbe fare foto senza che il display del Glass s’illumini.
Mike Lady e Kim Paterson, ricercatori laureati presso Cal Poly in California, hanno caricato su Play Store un’app spyware per Google Glass (mascherata come app per prendere appunti chiamata Malnotes).
Google ha scoperto lo spyware di Glass e l’ha tolto dal Play Store solamente quando il professore della coppia ha twittato in merito al loro esperimento di ricerca.
Forse i ricercatori hanno sbagliato a violare consapevolmente le norme degli sviluppatori di Google per offrire il loro spyware; ma è un segnale di avvertimento che anche l’onnipotente Google non può rendere completamente sicuro Google Play dalle app dannose.
Il consiglio migliore che abbiamo per gli utenti Android si applica anche in questo caso e in molti altri esempi di app dannose:
- Attenetevi, per quanto possibile, a Google Play.
- Evitate app che richiedano autorizzazioni di cui non hanno bisogno.
- Considerate l’utilizzo di un Antivirus Android che analzzi automaticamente le app alla prima esecuzione.
Fonte:Yes, your smartphone camera can be used to spy on you…
Yes, smartphone cameras can be used to spy on you – if you’re not careful.
A researcher claims to have written an Android app that takes photos and videos using a smartphone camera, even while the screen is turned off – a pretty handy tool for a spy or a creepy stalker.
University student Szymon Sidor claimed in a blog post and a video that his Android app works by using a tiny preview screen – just 1 pixel x 1 pixel – to keep the camera running in the background.
Now that most smartphones come with a camera (or two), and camera use is popular with apps like Instagram that encourage photo sharing, it’s a little surprising it has taken so long for hackers to find sneaky ways to exploit them.
Spyware of this sort has been around for a long time for Windows – the malware called Blackshades for example, which hackers have used to secretly record victims with their computer’s webcam.
But this seems to be the first reported instance of an Android application that can hijack a smartphone or tablet’s camera for the same devious purpose.
According to Sidor, the Android operating system won’t allow the camera to record without running a preview – which is how Sidor discovered that he could make the preview so small that it is effectively invisible to the naked eye.
Sidor demonstrated how the app works in a video, using his Nexus 5 smartphone.
Sidor said his app worked so well it was “scary”:
The result was amazing and scary at the same time - the pixel is virtually impossible to spot on Nexus 5 screen (even when you know where to look)!
Also it turned out that even if you turn the screen completely off, you can still take photos, as long as the pixel is still there.
Allowing the camera to run in the background – without an indicator in the notification bar – is “inexcusable” and should be fixed by Google’s Android team, Sidor commented in his blog post.
Selfie spies
There are other Android spyware apps readily available, such as mSpy, that allow snoops to access a device’s activity such as text messages, location, and even make audio recordings.
This is one of the first reported instances, however, of an app that successfully uses the smartphone camera without the user’s knowledge.
But just because this Android vulnerability is something that researchers are just recently discovering doesn’t mean others haven’t tried to exploit it maliciously.
In March 2014 we reported at Naked Security about a spyware app for Google Glass that could take photos without the Glass display being lit.
Mike Lady and Kim Paterson, graduate researchers at Cal Poly, in California, uploaded to Play Store a Google Glass spyware app (disguised as a note-taking app called Malnotes).
Google only discovered the Glass spyware and took it down from Play Store when the pair’s professor tweeted about their research experiment.
Perhaps the researchers were wrong to knowingly violate Google’s developer policies to serve up their spyware – but it’s a warning sign that even the all-powerful Google can’t completely secure Google Play against malicious apps.
The best advice we have for Android users still applies here and in many other examples of bad apps:
- Stick as far as possible to Google Play.
- Avoid apps that request permissions they don’t need.
- Consider using an Android anti-virus that will scan apps automatically before you run them for the first time.
Source:Yes, your smartphone camera can be used to spy on you…