Ondsinnede apper kan kjøre i bakgrunnen på Android og blant annet fotografere med enhetens kameraer uten at brukeren merker noe. (Bilde: PantherMedia / Jan Mika)

Skummelt smutthull i Android

– Apper kan fotografere uten at brukeren vet om det.

Det er mulig å lage applikasjoner til Android som kan kjøres i bakgrunnen, bruke kameraet og overføre bildene til en ekstern server, uten at brukeren merker noe som helst. Dette hever bloggeren Szymon Sidor, som har laget en video som demonstrerer det hele. Sidor skal være tilknyttet University of Cambridge i Storbritannia. Han har i to perioder hatt praksistid hos Google, men ikke i Android-gruppen.

Sidor skal aktivt ha forsøkt å se om det ville være mulig å lage en slik app. De appene som finnes i dag, fungerer kun når skjermen er på og at appens aktivitet er synlig for brukerne. Men det er mulig å lage en bakgrunnsprosess som tar bilder. Også denne må forhåndsvise bildet på skjermen, men det er tilsynelatende ikke noe størrelseskrav til denne forhåndsvisningen. Sidor oppdaget at en forhåndsvisning på 1x1 piksler er så godt som usynlig på en høyoppløst skjerm.

Med bakgrunnsprosessen er det også mulig å ta bilder selv om skjermen er av, så lenge pikselen vises. Bakgrunnsprosesser vises ikke i oversikten over nylig brukte apper. For å se bakgrunnsprosessene må man ned i Innstillinger\Apper\Kjører-oversikten.

Tilsynelatende er ikke dette en helt ukjent egenskap. I kommentarene under Sidors innlegg skal appen Cerberus kunne utnytte de samme mulighetene, men hensikten her er at eieren av mobilen skal kunne overvåke en mobiltyv, uten at tyven merker dette.

Men det finnes andre apper, som Office Anti-Spy, som kan deaktivere appers tilgang til blant annet kameraene.

Sidor opplyser at han har varslet Google om problemet. Samtidig kommer han med kritikk mot en del av valgene Android-teamet har gjort når det gjelder sikkerheten. I dette konkrete tilfellet mener Sidor ikke nødvendigvis at bakgrunnsprosesser ikke skal kunne bruke kameraet eller annen potensielt følsom funksjonalitet, men at brukerne bør varsles om det via varslingsfeltet.

Til toppen