Aplikacja na iOS‑a może nagrywać twarz użytkownika bez jego wiedzy
Nie tylko w laptopach, ale również w smartfonach będziemy zasłaniać kamerki? Inżynier pracujący w Google, Felix Krause ujawnił, że każda aplikacja na iOS-a, która w uprawnieniach ma dostęp do kamery, może robić zdjęcia i nagrywać filmy, bez wiedzy użytkownika.
Felix Krause pokazał wcześniej, jak za pomocą okna dialogowego można w łatwo wykraść hasło do konta Apple ID. Teraz na swojej stronie przedstawił kolejny sposób na zdobycie prywatnych danych użytkownika iPhone’a. Tym razem odpowiednio przygotowana aplikacja może wykorzystać wbudowane kamery do nagrywania użytkownika. Ponadto za ich pomocą może też w czasie rzeczywistym odczytać emocje z twarzy.
Inżynier zauważa, że każda aplikacja po uzyskaniu uprawnień do korzystania z kamer, otrzymuje dostęp do kamery umieszczonej z tyłu oraz tej znajdującej się na froncie iPhone’a. Wówczas aplikacja może rozpocząć przechwytywanie obrazu w dowolnej chwili, nie informując użytkownika o korzystaniu z kamer. Przykładowo, użytkownik może korzystać z aplikacji do przeglądania zdjęć, która w tym samym momencie będzie rejestrowała jego twarz, przesyłając zdobyte dane na dowolny serwer.
watch.user: Access both iPhone cameras any time your app is running
Niestety, ale prawdopodobnie mamy do czynienia z funkcją, a nie luką w iOS. Aplikacje, którym nadamy uprawnienia do kamery, mogą z tych kamer korzystać. Dostęp uzyskują bez wysłania jakiejkolwiek informacji, czy to za pomocą diody (jak ma to miejsce w MacBookach), dźwięku czy po prostu komunikatu na ekranie. Warto zauważyć, że wiele aplikacji wymaga podejrzanie dużo uprawnień, nie zawsze zgodnych z oferowaną funkcjonalnością. Użytkownicy te uprawnienia nadają, nie zwracając uwagi, że właśnie aplikacja, która jest prostą grą, zażądała dostępu do kontaktów lub kamer.
Felix Krause dodaje, że niewiele można z tym zrobić. Jedną z opcji jest zasłonięcie kamerki, drugą to odebranie aplikacjom uprawnień do kamer. Jeśli jednak usuniemy odpowiednie uprawnienia, to wiele aplikacji straci część możliwości, jak np. robienie zdjęć i wysłanie ich bezpośrednio w aplikacji.
Według inżyniera Apple powinno przebudować opisywany system zabezpieczeń iOS-a. Przykładowo można by wprowadzić wyłącznie tymczasowe zezwolenia na używanie kamery lub przynajmniej wprowadzić mechanizm, który informowałby użytkownika o robieniu zdjęcia lub nagrywaniu wideo.
