Cette faille a été découverte par les chercheurs en sécurité de MWR Labs qui la décrivent dans ce billet. Ils y expliquent comment une vulnérabilité dans Android Lollipop, Marshmallow et Nougat - ce qui représente environ 77% des smartphones Android - peut permettre à un développeur malveillant d'écouter leurs propriétaires à leurs insu.
Le problème se situe dans le framework MediaProjection qui permet d'enregistrer l'audio et l'activité de l'écran. Ce framework est apparu avec Android Lollipop. Avant cela, les fonctionnalités équivalentes nécessitaient soit un privilège root, soit que l'application souhaitant les utiliser soient signée avec un certificat OEM.
A partir de Lollipop, il suffit de demander les autorisations à l'utilisateur via une fenêtre contextuelle (un pop-up). Jusqu'ici tout irait bien. Mais selon les chercheurs, il est possible de superposer un autre popup 'innocent' que l'utilisateur validera et ce faisant il validera aussi l'autre. Cette vulnérabilité est due au fait que les Android cités plus haut sont incapables de détecter des popups se recouvrant. De plus les chercheurs font remarquer que le manque de permissions spécifiques pour utiliser cette API rend plus difficile de déterminer à postériori si une application utilise le framework MediaProjection.
Ce problème potentiel a été corrigé avec Android Oreo, qui ne permet plus la superposition des fenêtres contextuelles.