Felix Krause, ricercatore e fondatore di Fastlane.Tools, ha creato un'app di prova del concetto che dimostra la facilità con cui un'app canaglia potrebbe sfruttare i permessi della fotocamera iOS per scattare segretamente foto e girare video dell'utente durante l'esecuzione in primo piano.
Come notato da The Next Web and Motherboard, l'app di prova del concetto di Felix, chiamata watch.user, imposta la finestra di dialogo delle autorizzazioni standard della fotocamera di iOS che normalmente vedresti in qualsiasi app di fotografia o modifica delle immagini che necessitasse dell'accesso alle telecamere del dispositivo.
Tutto ciò che l'utente deve fare è concedere all'app l'accesso alle telecamere.
Da lì, l'app può scattare foto e girare video dell'utente tramite la fotocamera anteriore o posteriore. L'utente non noterebbe nulla perché le app che hanno ottenuto l'accesso alla fotocamera non sono tenute a informare l'utente quando è in corso una sessione di acquisizione di foto o video.
Ecco una dimostrazione video.
Un'app dannosa potrebbe caricare immagini e video dell'utente sui propri server o persino trasmettere un feed dal vivo dal dispositivo stesso. Poiché le immagini caricate sul cloud incorporano i dati sulla posizione, tutto ciò che un attore malintenzionato deve fare a questo punto per scoprire l'identità dell'utente viene eseguito l'analisi del riconoscimento facciale sui media.
E con il nuovo framework Vision di iOS 11, un'app di questo tipo potrebbe persino tenere traccia dei movimenti del viso e determinare il tuo umore. Se un'app non è in esecuzione in primo piano, nulla di tutto ciò è possibile, il che non significa che questo non sia un grave problema di privacy. Felix ha divulgato il problema ad Apple, quindi resta da vedere se e come la società di Cupertino possa scegliere di risolverlo.
Il problema è che non c'è modo di dire se alcune delle app che hai sul tuo iPhone a cui hai già fornito l'accesso alle librerie di immagini e alle telecamere possono contenere o sono state aggiornate con il codice dannoso.
Felix suggerisce che gli utenti utilizzano le copertine delle fotocamere o almeno revocano l'accesso alla fotocamera per tutte le app e scattano foto invece con l'app Fotocamera integrata di Apple mentre utilizzano le azioni del foglio Copia e incolla condivisione per spostare i media tra le app. Ha anche proposto di mostrare un'icona nella barra di stato iOS quando la fotocamera è attiva o di aggiungere un LED alle fotocamere iPhone che non possono essere aggirate dalle app in modalità sandbox, "che è l'elegante soluzione che utilizza il MacBook."
I produttori di Astropad e Luna Display hanno recentemente mostrato qualcosa di simile all'app di Felix nella loro app Luna Display, puoi toccare la fotocamera frontale per mostrare un pannello opzioni.
"Quando abbiamo finito i pulsanti per nascondere l'interfaccia utente del nostro software, ci ha davvero costretti a usare la nostra immaginazione", hanno scritto in un post sul blog. "Invece di spremere l'interfaccia utente dove non si adattava, abbiamo creato un nuovo pulsante per nasconderlo: si chiama il pulsante della fotocamera."
A proposito, Felix ha recentemente rivelato un'altra app di prova del concetto che potrebbe ingannare l'utente nel fornire la password dell'ID Apple visualizzando un popup simile a quello utilizzato dal sistema.
Questo exploit della fotocamera ti riguarda? In tal caso, quali protezioni di protezione Apple dovrebbe incorporare in iOS per impedire alle app di registrare gli utenti a loro insaputa?
Lascia il tuo commento qui sotto.
