Un nuevo reporte de un ex colaborador de Google, actualmente ingeniero de software convertido accidentalmente en investigador de seguridad, Szymon Sidor, revela que un poco de código sencillo puede forzar a un teléfono Android a tomar fotografías sin que el usuario lo note. Las imagenes obtenidas pueden ser colocadas en un servidor remoto sin el conocimiento del dueño del dispositivo. 

Publicado en su blog "Snacks for your mind" (Golosinas para tu mente), Sidor revela que ha descubierto inadvertidamente un enorme agujero de seguridad en Android. "Hay muchas aplicaciones en Play Store que tienen por objeto tomar de fotografías sin ninguna indicación visual (ACLU-NJ Police Tape, Mobile Hidden Camera y otras) pero parece que todas ellas requieren actividad visible de la aplicación y estar en la pantalla del teléfono", escribió Sidor. "Algunas de ellas logran grabar vídeo sin la vista previa".

Con esto en mente, Sidor decidió ver si podía conseguir que un teléfono Android tome fotografías, y posteriormente enviarlas a un servidor remoto de su elección, sin el conocimiento del usuario. Desfortunadamente para los usuarios de Android, logró su objetivo.

Sidor fue capaz de crear una aplicación que evade los requerimientos de Android que solicitan una vista previa mostrada en la pantalla del dispositivo cuando se captura una foto. Finalmente, él no se apegó a esta característica, pero en su lugar encontró un agujero brillante:

El software de Sidor aún despliega la vista previa mientras se captura la foto, pero lo hace en un solo pixel. En otras palabras, en lugar de mostrar la vista prevía del viewfinder en la pantalla completa del teléfono, la aplicación de Sidor muestra la captura en sólo un pixel, así que es básicamente invisible.

Las pantallas de los teléfonos actuales tienen muchos pixeles, teniendo una pantalla full HD encendida con más de dos millones de pixeles, es imposible para el usuario notarlo, incluso si la pantalla está encendida o apagada.