Uma falha encontrada em versões antigas do Android permite que a tela do smartphone seja gravada sem que a vítima perceba.

A vulnerabilidade usa um recurso chamado MediaProjection, introduzido no Android 5.0 Lollipop. Com ele, desenvolvedores conseguem gravar a imagem que aparece na tela do smartphone e também o som, caso o usuário forneça permissão para isso.

O problema é que, como notado pela empresa de segurança MWR InfoSecurity, uma pessoa com fins maliciosos consegue enganar o usuário para gravar imagem da tela sem que ele perceba ter dado autorização.

Para isso, é preciso sobrepor uma mensagem falsa de pop-up por cima do alerta convencional de requisição de permissão do Android. Assim, o hacker pode fazer a pessoa ler uma mensagem no Android que, na verdade, está escondendo o alerta de permissão. O usuário então autoriza a captura da tela achando que outra coisa está sendo solicitada pelo app.

A falha atinge todos os dispositivos que usam entre o Android 5.0 Lollipop e o 7.1 Nougat – juntas, essas plataformas representam 77% dos usuários do sistema do Google.

O Google ainda não se pronunciou sobre a falha, mas ela foi consertada no Android 8.0 Oreo. No entanto, não há nenhuma informação relacionada a um patch para outras versões do Android.