Un fallo de seguridad en Android permite espiar al usuario

Un nuevo informe publicado por Szymon Sidor, ex trabajador de Google y actual ingeniero de software, se ha convertido en investigador de seguridad accidental y ha publicado un revelador descubrimiento, en el que un simple código puede conseguir que un teléfono Android capture fotografías o vídeos en secreto.

Las imágenes resultantes se pueden subir a un servidor remoto sin el propietario del dispositivo de saber nunca.

En su blog Snacks para tu mente, en el que publicó su investigación, Sidor revela que ha descubierto un agujero de seguridad enorme en Android. "Hay muchas aplicaciones en la Play Store (si eres usuario de iPhone piensa en la App Store) que pueden tomar fotografías sin ninguna indicación visual (ACLU-NJ Cinta de Policía, cámara de móvil oculta y más), y por lo que encontré todos necesitan  que una aplicación esté visible en la pantalla y el teléfono esté encendido", escribió Sidor, y anadía: "Algunos de ellos logran grabar vídeo sin vista previa".

Con esto en mente, Sidor decidió probar si podía conseguir que un teléfono con Android tomase fotos, para, en última instancia, enviarlas a un servidor remoto de su elección sin que el usuario se diese cuenta. Y para desgracia de todos los usuarios Android del mundo, logró su objetivo.

En pocas palabras, Sidor fue capaz de crear una aplicación que cumplía todos los requerimientos de Android, por los que una vista previa se debe mostrar en la pantalla de un dispositivo cuando se captura una foto. Pero lo hizo a través de una pequeña y brillante trampa.

El software creado por Sidor muestra una vista previa mientras captura la fotografía, pero se muestra en un solo píxel. En otras palabras, en lugar de mostrar la vista previa a pantalla completa, la app de Sidor lo hace en un solo píxel, por lo que es, básicamente, invisible. 

En las pantallas de los actuales smartphones, con pantallas Full HD llenas con más de dos millones de píxeles, es imposible que el usuario note la notificación, de hecho, lo es tanto si la pantalla está encendida o apagada.

Sidor ha sido el primero en publicar este agujero de seguridad, pero no hay manera de saber si ha sido la única persona que lo conoce y puede haberlo puesto en práctica.

De hecho, es muy probable que en la actualidad ya existan aplicaciones que sean capaces de espiar a los usuarios de dispositivos mediante la captura de fotos secretas, para después enviarlas a servidores remotos.