Bukti aplikasi konsep mengeksploitasi izin kamera iOS untuk mengambil gambar dan video secara diam-diam

Felix Krause, peneliti dan pendiri Fastlane.Tools, telah menciptakan aplikasi proof-of-concept yang menunjukkan betapa mudahnya aplikasi jahat dapat mengeksploitasi izin kamera iOS untuk secara diam-diam mengambil gambar dan merekam video pengguna saat berjalan di latar depan..

Seperti dicatat oleh The Next Web dan Motherboard, aplikasi pembuktian konsep Felix, bernama watch.user, memasang dialog izin kamera standar iOS yang biasanya Anda lihat dalam aplikasi fotografi atau pengeditan gambar yang membutuhkan akses ke kamera perangkat.

Yang perlu dilakukan pengguna adalah memberikan akses aplikasi ke kamera.

Dari sana, aplikasi dapat mengambil gambar dan merekam video pengguna melalui kamera depan atau belakang. Pengguna tidak akan melihat apa pun karena aplikasi yang telah mendapatkan akses kamera tidak diharuskan untuk memberi tahu pengguna ketika sesi pengambilan foto atau video sedang berlangsung.

Ini demonstrasi video.

Aplikasi jahat dapat mengunggah gambar dan video pengguna ke servernya atau bahkan menyiarkan umpan langsung dari perangkat itu sendiri. Saat gambar diunggah ke data lokasi penyematan cloud, semua yang perlu dilakukan aktor jahat pada saat ini untuk mengetahui identitas pengguna menjalankan analisis pengenalan wajah di media.

Dan dengan kerangka Visi baru iOS 11, aplikasi semacam itu bahkan dapat melacak pergerakan wajah Anda dan menentukan suasana hati Anda. Jika aplikasi tidak berjalan di latar depan, semua ini tidak mungkin terjadi - yang tidak berarti bahwa ini bukan masalah privasi utama. Felix telah mengungkapkan masalah tersebut kepada Apple sehingga masih harus dilihat apakah dan bagaimana perusahaan Cupertino dapat memilih untuk mengatasinya.

Masalahnya adalah, tidak ada cara untuk mengetahui apakah beberapa aplikasi yang Anda miliki di iPhone Anda yang telah Anda berikan akses ke pustaka gambar dan kamera Anda mungkin berisi atau telah diperbarui dengan kode berbahaya.

Felix menyarankan agar pengguna menggunakan penutup kamera atau setidaknya mencabut akses kamera untuk semua aplikasi dan mengambil gambar sebagai gantinya dengan aplikasi Kamera bawaan Apple saat menggunakan tindakan Copy and Paste Share sheet untuk memindahkan media mereka di antara aplikasi. Dia juga mengusulkan untuk menunjukkan ikon di bilah status iOS ketika kamera aktif atau menambahkan LED ke kamera iPhone yang tidak dapat dikerjakan oleh aplikasi kotak pasir, "yang merupakan solusi elegan yang digunakan MacBook."

Pembuat Astropad dan Luna Display baru-baru ini menunjukkan sesuatu yang mirip dengan aplikasi Felix di aplikasi Luna Display mereka, Anda dapat mengetuk kamera menghadap ke depan untuk menampilkan panel opsi.

"Ketika kami kehabisan tombol untuk menyembunyikan UI perangkat lunak kami di belakang, itu benar-benar memaksa kami untuk menggunakan imajinasi kami," tulis mereka dalam sebuah posting blog. "Alih-alih meremas UI di tempat yang tidak cocok, kami membuat tombol baru untuk menyembunyikannya: itu disebut Tombol Kamera."

Ngomong-ngomong, Felix baru-baru ini mengungkapkan bukti lain dari aplikasi konsep yang dapat menipu pengguna untuk memberikan kata sandi ID Apple mereka dengan menampilkan sembulan yang mirip dengan yang digunakan oleh sistem..

Apakah kamera ini memanfaatkan Anda? Jika demikian, perlindungan perlindungan apa yang harus dibuat Apple ke iOS untuk mencegah aplikasi merekam pengguna tanpa sepengetahuan mereka?

Tinggalkan komentar Anda di bawah ini.