Nel mondo degli smartphone le minacce informatiche si susseguono a ritmo sempre più frenetico, ma di quando in quando si affaccia all'orizzonte un pericolo più preoccupante di altri. È il caso dell'ultima rivelazione dei ricercatori di Checkmarx, che hanno scoperto come le app ufficiali per le fotocamere presenti sugli smartphone Google e Samsung nascondano una vulnerabilità che permette ad eventuali hacker di controllare da lontano i telefoni dei proprietari per far loro scattare foto, registrare video e rivelare la posizione GPS in modo del tutto automatico.

Stando a quanto scoperto da Checkmarx, alcune falle nella progettazione dei software per la fotocamera dei due produttori permettono di scavalcare il sistema di permessi che governa ciò che le app degli sviluppatori esterni possono e non possono fare all'interno del sistema operativo. Normalmente infatti, quando un'app desidera scattare foto, registrare video o intraprendere attività potenzialmente lesive della privacy deve chiedere il permesso agli utenti. A farlo ci pensa Android, con una apposita schermata che lascia al proprietario del dispositivo la facoltà di negare queste autorizzazioni.

Nell'attacco a scopo dimostrativo ideato da Checkmarx, i ricercatori hanno però realizzato un'app capace di sfruttare proprio il software della fotocamera e i permessi dei quali già dispone – senza così doverli chiedere all'utente. Il software è mascherato da app per il meteo e all'installazione chiede semplicemente un permesso relativamente innocuo: quello di accedere alla memoria del dispositivo.

Seguendo le istruzioni dell'app è in realtà il software della fotocamera a fare il lavoro sporco: il malware si limita poi a leggere le foto e i video salvati diligentemente in memoria e a inoltrarli al centro di controllo remoto col quale resta costantemente in contatto. Il risultato è però inquietante: di fatto il malware può scattare foto, registrare audio, video e telefonate, ed eventualmente ottenere la posizione GPS allegata a questi contenuti, trasformando di fatto il dispositivo in uno strumento di spionaggio.

L'annuncio della scoperta della vulnerabilità è avvenuto in queste ore, ovvero diverso tempo dopo che il gruppo ha avvisato le società responsabili per dare loro modo di risolvere il problema. Scaricando gli ultimi aggiornamenti di sicurezza del sistema operativo Android dunque il rischio di cadere vittime di eventuali attacchi scende a zero – almeno per i modelli di telefono abbastanza recenti da avere ancora accesso a questo tipo di supporto.