Maintenant qu'il y a un avant et un après les révélations de la NSA, la méfiance s'est installée par rapport à ce qui peut être fait depuis les OS mobiles sans même que l'utilisateur des terminaux en ait conscience.

Et justement, le blogueur et spécialiste informatique Szymon Sidor  a découvert un moyen pour permettre à une application Android de prendre des photos sans apparaître en tâche de fond ni se manifester d'aucune manière, de sorte que l'utilisateur n'a pas moyen de savoir que des clichés sont pris depuis les capteurs photo de son smartphone ou de sa tablette.

Après avoir tatonné, il s'est aperçu que l'APN sous Android n'impose pas à un application mobile utilisant le capteur photo d'apparaître forcément en background mais qu'il oblige malgré tout à afficher une preview sur l'écran. L'astuce utilisée par Sidor a été de réduire la fenêtre de preview au minimum, soit 1 pixel, ce qui la rend indiscernable sur les écrans des smartphones actuels.

  

De cette façon, l'application peut prendre des photos même lorsque l'écran du smartphone est inactif, sans donner aucun signe de ce fonctionnement, et pourra potentiellement les transmettre vers un serveur distant.

Une application d'apparence inoffensive peut alors devenir un véritable petit espion sous Android, avec pour oeil l'appareil photo du smartphone ou de la tablette. Il est ainsi possible de récupérer régulièrement des clichés pris depuis l'APN en toute discrétion, sans aucun signe alertant l'utilisateur.

Szymon Sidor rappelle les règles de base pour tenter de détecter malgré tout les comportements anormaux de telles applications, comme vérifier les permissions des applications lors de leur installation, changer les mots de passe de son compte Google régulièrement ou s'interroger en cas de consommation excessive de la batterie ou d'augmentation du trafic data.

Il suggère également que le SDK d'Android mériterait d'être revu du point de vue du respect de la vie privée, devenu un sujet majeur et quitte à brider un peu la grande liberté du développeur, pour forcer la manifestation de ce genre de comportement, par une notification par exemple, que ce soit pour la photo, la vidéo, la localisation, etc, afin que l'utilisateur en soit informé.