Bevis på koncept-app utnyttjar iOS-kameratillstånd för att i hemlighet ta bilder och videor

Felix Krause, forskare och grundare av Fastlane.Tools, har skapat en proof-of-concept-app som visar hur lätt en rogue app skulle kunna utnyttja iOS-kameratillstånd för att i hemlighet ta bilder och skjuta video av användaren när den kör i förgrunden.

Som påpekats av The Next Web and Motherboard, sätter Felix's proof-of-concept-app, kallad watch.user, upp iOS: s standardkamera-behörighetsdialogruta som du normalt sett skulle se i alla fotograferings- eller bildredigeringsappar som behövde åtkomst till enhetskameror.

Allt användaren behöver göra är att ge appen åtkomst till kamerorna.

Därifrån kan appen ta bilder och ta video av användaren via antingen fram- eller bakkamera. Användaren skulle inte märka någonting eftersom appar som har fått kameratillgång inte kräver att informera användaren när en foto- eller videofångstsession pågår.

Här är en videodemonstration.

En skadlig app kan ladda upp bilder och videor från användaren till dess servrar eller till och med sända ett live-flöde från själva enheten. När bilder laddas upp till molnens inbäddade platsdata måste allt en skadlig aktör göra vid denna tidpunkt för att upptäcka användarens identitet körs ansiktsigenkänningsanalys i media.

Och med iOS 11: s nya Vision-ramverk kan en sådan app till och med spåra dina ansiktsrörelser och bestämma ditt humör. Om en app inte körs i förgrunden är inget av detta möjligt - vilket inte säger att detta inte är ett stort integritetsproblem. Felix har avslöjat frågan till Apple så det återstår att se om och hur Cupertino-företaget kan välja att ta itu med det.

Problemet är att det inte finns något sätt att säga om några av de appar du har på din iPhone som du redan har gett åtkomst till dina bildbibliotek och kameror kan innehålla eller har uppdaterats med skadlig kod.

Felix föreslår att användare antingen använder kamerahöljer eller åtminstone återkallar åtkomst till kameran för alla appar och tar bilder istället med Apples inbyggda kamera-app när de använder Copy and Paste Share-arkåtgärder för att flytta sina media mellan apparna. Han föreslog också att en ikon skulle visas i iOS-statusfältet när kameran är aktiv eller lägga till en LED till iPhone-kameror som inte kan bearbetas av sandlådade appar, "vilket är den eleganta lösningen som MacBook använder."

Makers av Astropad och Luna Display visade nyligen något som liknar Felix-appen - i deras Luna Display-app kan du trycka på den främre kameran för att visa en alternativpanel.

"När vi slutade på knapparna för att dölja vår programvarus användargränssnitt bakom det tvingade det oss verkligen att använda vår fantasi," skrev de i ett blogginlägg. "I stället för att klämma in användargränssnittet där det inte passade, byggde vi en ny knapp för att dölja den: den heter kameraknappen."

Förresten, Felix avslöjade nyligen ytterligare ett bevis för koncept-app som kan lura användaren att tillhandahålla sitt Apple ID-lösenord genom att visa en popup som liknar den som används av systemet.

Är den här kameran utnyttjad för dig? Om så är fallet, vilka skydd ska Apple bygga in i iOS för att förhindra att appar spelar in användare utan deras vetskap?

Lämna din kommentar nedan.