En explorant les limites de la collecte de données pour un projet d’équipe universitaire qui suggérait grosso modo d’utiliser les caméras sur les ordinateurs sans en allumer les voyants lumineux, Szymon Sidor, un chercheur en sécurité, a accidentellement mis le doigt sur une importante faille de sécurité pouvant affecter le système d’exploitation mobile de Mountain View. « Ce que je voulais, c’était prendre des photos à l’insu de l’utilisateur, à n’importe quel moment, pas seulement quand l’application était en cours d’utilisation », a-t-il expliqué. La première chose qu’il a faite a été d’effectuer une recherche sur le sujet. Il en est sorti que l’utilisation de la caméra sur Android n’impose pas à l’application d’apparaître forcément en arrière-plan mais requiert malgré tout l’affichage d’un aperçu sur l’écran de l’utilisateur. Il s’agit là d’un moyen de veiller à ce que les utilisateurs sachent que leur caméra est en cours d’utilisation afin de ne pas prendre des photos/vidéos d’eux à leur insu.
Et c’est à ce niveau qu’intervient son petit tour ; Sidor a réduit l’affichage de l’aperçu à 1x1 pixel, rendant impossible de discerner l’aperçu sur l’écran de son smartphone et laissant à l’application le loisir de télécharger les photos capturées ailleurs. De cette façon, même lorsque l’écran du smartphone est inactif, l’application est capable de prendre des photos sans alerter l’utilisateur et potentiellement de transmettre les clichés en toute discrétion vers un serveur distant. L'application est également capable de capturer d'autres détails de l'appareil, tels que le niveau de la batterie (crucial pour aider à éviter la détection de l'application via le drain de la batterie), et même l'emplacement actuel de l'appareil. Regardez donc la démo.
« Le résultat a été incroyable et effrayant en même temps - le pixel est pratiquement impossible à repérer sur l’écran du Nexus 5 (même si vous savez où chercher) ! En outre, il s'est avéré que même si vous éteignez votre écran, vous pourrez toujours prendre des photos, aussi longtemps que le pixel est là », a-t-il précisé.
Par la suite il prodigue quelques conseils, notamment vérifier les permissions des applications suspectes dans les paramètres d’Android et retirer l’accès à la caméra pour les applications dont la vocation n’a rien à y voir. Étant donné qu’il est possible d’installer des applications à l’insu de l’utilisateur, il recommande également d’adopter l’authentification à deux facteurs afin de mieux protéger son compte Google, mais aussi de changer son mot de passe de temps en temps et d’en établir des solides.
Il recommande également de prendre l’habitude de désinstaller les applications inutilisées et de surveiller le comportement de votre pile et de votre réseau : une importante consommation électrique et une transmission de données élevée sont des symptômes de l’exploitation de cette faille. Enfin, il rappelle qu’il faut surveiller les applications indésirables qui fonctionnent en arrière-plan.
A la fin, après des critiques constructives, il s’adresse en ces mots à l’équipe de sécurité d’Android : « s’il vous plaît, faites plus d’efforts pour assurer la vie privée des utilisateurs ».
Source : blog Sidor
Et vous ?
Qu'en pensez-vous ? 
