Het is een Amerikaanse student gelukt om met een Android-smartphone foto’s te maken zonder dat je dat ziet op de smartphone. Er zijn geen actieve apps te zien en je kunt je telefoon gewoon gebruiken zoals je dat normaal doet.
Ongemerkt de camera van een telefoon activeren is mogelijk
Het is een eng idee maar blijkbaar wel mogelijk: iemand kan ‘inbreken’ op jouw telefoon en vervolgens zien waar jij bent en ongemerkt foto’s nemen met je telefoon. Zónder dat je het ziet! De MIT-student Szymon Sidor, wilde kijken in hoeverre de camera van Android-smartphones te kapen is. Hij kwam op het idee door een collega. Die collega kwam met een project waarbij de webcam van een PC of laptop gekaapt kon worden zonder dat dat zichtbaar is voor de gebruiker. Daar was door andere onderzoekers al aan gewerkt en onder andere op oudere MacBooks was het mogelijk de webcam te activeren zonder dat het led-lampje aan gaat.
Sidor wilde datzelfde concept echter toepassen op Android: “Een eerste onderzoek zag er veelbelovend uit. Er zijn veel apps in de Play Store (of App Store als je een iPhone-gebruiker bent), die focussen op het maken van foto’s zonder visuele indicatie maar wat ik heb uitgevonden is dat ze allemaal app-activiteit laten zien en het scherm moet aan staan. Sommige apps kunnen video opnemen zonder zichtbare voorvertoning.”
Het uiteindelijke doel van Sidor was om foto’s te maken zonder dat de gebruiker het weet, ten alle tijde en niet alleen wanneer de app geopend is. Na een onderzoek kwam Sidor erachter dat, om de camera te gebruiken, er een voorvertoning getoond moet worden van het beeld dat opgenomen wordt. Uiteindelijk is het gelukt om een voorvertoning van het camerabeeld op het homescreen te plaatsen zonder dat de app activiteit vertoonde, maar het camerabeeld op een homescreen is natuurlijk niet ideaal als je ongemerkt foto’s wilt maken.
Proberen, proberen en proberen!
De voorvertoning op het homescreen was echter wel een stap in de juiste richting. Een laatste stap was het weghalen van de voorvertoning. Het onzichtbaar maken van de voorvertoning lukte niet omdat Android die instelling negeert. Het transparant maken werkte ook niet want Android negeert ook die instelling. Het bedekken van de voorvertoning met een ander beeld faalde deels. De voorvertoning was weg maar het beeld dat erboven zat belemmerde een groot deel van het scherm. De uiteindelijk oplossing was de voorvertoning te verstoppen in een 1×1 pixel. “Dit resultaat was zowel geweldig als eng. De pixel is bijna onmogelijk te zien op mijn Nexus 5-scherm (zelfs als je weet waar je moet kijken)! Ook bleek dat zelfs met het scherm helemaal uit het nog steeds mogelijk is foto’s te maken, als die pixel daar maar is“, aldus Sidor.
Op het blog van Szymon Sidor is ook te lezen hoe je jezelf enigszins kunt beschermen tegen kwaadaardige bedoelingen. Let altijd op de rechten die een app moet hebben. Zo is het raar als een simpele notitie-app toegang moet hebben tot de camera. Ook is het verstandig om apps te verwijderen als je ze veel van de accu vragen zonder dat jij de app veel gebruikt. Er staan nog wat andere tips op het blog maar Sidor benadrukt dat het altijd een kat-en-muis-spel blijft: “Ongeacht hoe hard jij je probeert te beschermen, aanvallers vinden altijd meer wegen om hun kwaadaardige activiteiten uit te voeren.”
De code van de hack blijft voor nu in handen van Sidor maar in de reacties op zijn blog is te lezen dat hij ervan op de hoogte is dat hij niet de enige is die het voor elkaar heeft gekregen ongemerkt foto’s te maken. Of een dergelijke hack ook mogelijk is op iOS of Windows Phone is niet duidelijk.
Update – De camera overnemen op Windows Phone of iOS een stuk lastiger
We hebben contact opgenomen met Szymon Sidor met de vraag of de camera van een Windows Phone- of iOS-toestel ook overgenomen kan worden met een zelfde soort hack. Zijn antwoord is vrij simpel: het is een stuk moeilijker. “Voor zover ik weet is het een stuk moeilijker op beide platformen. Voor Android was er bewijs dat er stukjes van wat ik deed al een hele tijd bekend waren. Voor Windows Phone en iOS is er niks bekend. Maar kijkend naar alle mensen op het internet die zweren bij de veiligheid van Windows Phone en iOS zou het leuk zijn aan te tonen dat het ook op die platformen gedaan kan worden.“, aldus Sidor in een reactie. Hij zegt ook ‘maybe one day’, waarmee hij lijkt te impliceren dat hij misschien gaat proberen ook Windows Phone en iOS te ‘kraken’. En welk platform veiliger is? “Als ik moest gokken dan zou ik zeggen dat het waarschijnlijker is dat Windows Phone beter te exploiteren is dan iOS, maar dat is puur speculatie.”
Bron: Snacks for your mind
Samsung 
Samsung 
