Un bug en Android permite grabar vídeos sin que el usuario lo sepa

Un nuevo bug encontrado en una serie de smartphones Android permite acceder a las cámaras y grabar un vídeo, con audio incluido, de todo lo que ocurre alrededor. Después, ese vídeo es subido a un servidor externo, y todo puede ocurrir sin que el usuario tenga constancia de ello, en ningún momento.

Facebook y la privacidad de los usuarios

Parece que el problema, que se investiga con el nombre CVE-2019-2234, se daba en smartphones Pixel de Google y los Galaxy de Samsung, pero ambas empresas ya han corregido el problema con una actualización de seguridad. En el caso de Google, el pasado mes de Julio, y en el caso de Samsung, no se sabe. Hasta ahora, no ha trascendido porque han esperado a que el problema se haya podido corregir en muchos smartphones, tras ser actualizados. Sin embargo todos sabemos que en el mundo de Android hay muchísimos usuarios que nunca actualizan su smartphone, bien porque el fabricante del mismo no ha hecho disponible una nueva versión del sistema, o bien porque simplemente no se actualizan más después de comprarlo, algo habitual sobre todo en marcas baratas de terminales Android. Es un coste del que quieren prescindir, y forma parte de los bajos precios que cobran.

El descubrimiento lo hizo la firma de seguridad e investigación Checkmarx, aunque nosotros lo hemos encontrado en ArsTechnica. La información de localización del terminal, vía GPS u otros, también se podía obtener sin conocimiento del usuario.

Para poder sacar partido de este bug, alguien con malas intenciones tiene que haber sido capaz de instalar una App en el smartphone de la víctima. Como ya sabemos todos, es relativamente sencillo instalar Apps desde lugares ajenos a la Google Play Store, la tienda de Apps de Android, así que con un poco de ingenio y poniendo un buen anzuelo, es relativamente sencillo llamar la atención de un elevado número de usuarios de Android en un Pixel o Galaxy y que instalen una App desde otras fuentes. Cuando alguien está grabando algo con la cámara, la pantalla se enciende y se ve en ella lo que ve la cámara, así que incluso si tuvieras un smartphone Android aún vulnerable, es relativamente sencillo saber si alguien abre la cámara, pero esto sólo es posible si estás mirando a la pantalla en ese momento.

Estos días en los que los smartphones son tan complicados en sus sistemas operativos, parece que es habitual tener errores importantes que llegan al usuario final. Da igual si son de iOS o Android. Simplemente, no se dedica el tiempo suficiente a investigar mejor cómo conseguir que un smartphone sea invulnerable.