Felix Krause, onderzoeker en oprichter van Fastlane.Tools, heeft een proof-of-concept-app gemaakt die laat zien hoe gemakkelijk een malafide app iOS-cameramachtigingen kan gebruiken om in het geheim foto's te maken en video van de gebruiker te maken wanneer deze op de voorgrond wordt uitgevoerd.
Zoals opgemerkt door The Next Web en Motherboard, opent de proof-of-concept-app van Felix, watch.user genaamd, het standaarddialoogvenster voor camera-rechten van iOS dat je normaal zou zien in elke fotografie- of beeldbewerkingsapp die toegang tot apparaatcamera's nodig had.
Het enige dat de gebruiker hoeft te doen, is de app toegang verlenen tot de camera's.
Van daaruit kan de app foto's maken en video-opnamen van de gebruiker maken via de camera aan de voor- of achterzijde. De gebruiker zou niets merken, omdat apps die toegang tot de camera hebben verkregen, de gebruiker niet hoeven te informeren wanneer een foto- of video-opnamesessie bezig is.
Hier is een videodemonstratie.
Een kwaadwillende app kan afbeeldingen en video's van de gebruiker uploaden naar zijn servers of zelfs een live feed uitzenden vanaf het apparaat zelf. Omdat afbeeldingen die naar de cloud zijn geüpload, locatiegegevens insluiten, moet op dit moment alles wat een kwaadwillende acteur doet om de identiteit van de gebruiker te ontdekken, gezichtsherkenningsanalyse op de media uitvoeren.
En met het nieuwe Vision-framework van iOS 11 kan een dergelijke app zelfs je gezichtsbewegingen volgen en je humeur bepalen. Als een app niet op de voorgrond draait, is dit allemaal niet mogelijk, wat niet wil zeggen dat dit geen belangrijk privacyprobleem is. Felix heeft het probleem aan Apple bekendgemaakt, dus het valt nog te bezien of en hoe het Cupertino-bedrijf ervoor kan kiezen het aan te pakken.
Het probleem is dat er geen manier is om te bepalen of sommige van de apps op uw iPhone die u al toegang hebt verleend tot uw afbeeldingsbibliotheken en camera's mogelijk de schadelijke code bevatten of zijn bijgewerkt.
Felix suggereert dat gebruikers camerabehuizingen gebruiken of ten minste de cameratoegang voor alle apps intrekken en in plaats daarvan foto's maken met de ingebouwde camera-app van Apple terwijl ze delen en kopiëren delen delen acties gebruiken om hun media tussen apps te verplaatsen. Hij stelde ook voor om een pictogram in de iOS-statusbalk weer te geven wanneer de camera actief is of een LED toe te voegen aan iPhone-camera's die niet kunnen worden omzeild door apps in de sandbox, "wat de elegante oplossing is die de MacBook gebruikt."
Makers van Astropad en Luna Display toonden onlangs iets vergelijkbaars met Felix's app in hun Luna Display-app, je kunt op de camera aan de voorzijde tikken om een optiepaneel te tonen.
“Toen we geen knoppen meer hadden om de gebruikersinterface van onze software te verbergen, dwongen het ons echt om onze verbeelding te gebruiken”, schreven ze in een blogpost. "In plaats van de gebruikersinterface in te drukken waar deze niet paste, hebben we een nieuwe knop gebouwd om deze te verbergen: deze wordt de cameraknop genoemd."
Trouwens, Felix heeft onlangs een andere proof of concept-app onthuld die de gebruiker kan misleiden door zijn Apple ID-wachtwoord op te geven door een pop-up weer te geven die vergelijkbaar is met die van het systeem.
Is deze camera-exploit iets voor jou? Zo ja, welke beschermingsbeschermingen moet Apple in iOS inbouwen om te voorkomen dat apps gebruikers opnemen zonder hun medeweten?
Laat hieronder je reactie achter.
