Felix Krause, forsker og grunnlegger av Fastlane.Tools, har laget en proof-of-concept-app som demonstrerer hvor lett en useriøs app kan utnytte iOS-kameraets tillatelser til å hemmelighet ta bilder og skyte video av brukeren når de kjører i forgrunnen.
Som bemerket av The Next Web and Motherboard, setter Felix sin proof-of-concept-app, kalt watch.user, opp iOSs standard kameratillatelsesdialog som du vanligvis ville sett i en hvilken som helst fotograferings- eller bilderedigeringsapp som trengte tilgang til enhetskameraer.
Alt brukeren trenger å gjøre er å gi appen tilgang til kameraene.
Derfra kan appen ta bilder og skyte video av brukeren via enten kamera foran eller bak. Brukeren vil ikke legge merke til noe fordi apper som har fått kameratilgang ikke er påkrevd å informere brukeren når en foto- eller videoopptakssession pågår.
Her er en video demonstrasjon.
En ondsinnet app kan laste opp bilder og videoer av brukeren til serverne eller til og med kringkaste en live feed fra selve enheten. Når bilder lastet opp til nettskyen legger inn posisjonsdata, må alt en ondsinnet aktør gjøre på dette tidspunktet for å oppdage brukerens identitet, kjøres ansiktsgjenkjenningsanalyse i media.
Og med iOS 11s nye Vision-rammeverk, kan en slik app til og med spore ansiktsbevegelsene dine og bestemme humøret. Hvis en app ikke kjører i forgrunnen, er ikke noe av dette mulig - noe som ikke sier at dette ikke er et stort personvernproblem. Felix har avslørt saken til Apple, så det gjenstår å se om og hvordan Cupertino-selskapet kan velge å adressere det.
Problemet er, det er ingen måte å fortelle om noen av appene du har på iPhone-en som du allerede har gitt tilgang til bildebibliotekene og kameraene, kan inneholde eller har blitt oppdatert med den ondsinnede koden..
Felix foreslår at brukerne enten bruker kameradeksler eller i det minste opphever kameratilgang for alle apper og tar bilder i stedet med Apples innebygde kamera-app mens de bruker Copy and Paste Share ark-handlinger for å flytte media mellom appene. Han foreslo også å vise et ikon i iOS-statuslinjen når kameraet er aktivt eller legge til en LED til iPhone-kameraer som ikke kan bearbeides av sandkassede apper, "som er den elegante løsningen som MacBook bruker."
Produsenter av Astropad og Luna Display viste nylig noe som ligner på Felix-appen. I Luna Display-appen din kan du trykke på det frontvendte kameraet for å vise et alternativspanel.
"Da vi gikk tom for knapper for å skjule programvarens brukergrensesnitt bak, tvang det oss virkelig til å bruke fantasien vår," skrev de i et blogginnlegg. "I stedet for å klemme brukergrensesnittet inn der det ikke passet, bygde vi en ny knapp for å skjule den: den kalles kameraknappen."
For øvrig avslørte Felix nylig et annet bevis på konsept-app som kan lure brukeren til å gi sitt Apple ID-passord ved å vise en popup som ligner den som brukes av systemet.
Er dette kameraet utnyttet for deg? I så fall, hvilke beskyttelsesbeskyttelse bør Apple bygge inn i iOS for å forhindre at apper registrerer brukere uten deres viten?
Legg igjen kommentaren nedenfor.
