Felix Krause, chercheur et fondateur de Fastlane.Tools, a créé une application de validation de principe qui montre avec quelle facilité une application malveillante pourrait exploiter les autorisations de la caméra iOS pour prendre secrètement des photos et filmer la vidéo de l'utilisateur lorsqu'elle s'exécute au premier plan.
Comme indiqué par The Next Web and Motherboard, l'application de validation de concept de Felix, appelée watch.user, affiche la boîte de dialogue des autorisations d'appareil photo standard d'iOS que vous verriez normalement dans n'importe quelle application de photographie ou d'édition d'image qui avait besoin d'accéder aux caméras de l'appareil.
Tout ce que l'utilisateur doit faire est d'accorder à l'application l'accès aux caméras.
De là, l'application peut prendre des photos et filmer des vidéos de l'utilisateur via une caméra avant ou arrière. L'utilisateur ne remarquerait rien car les applications qui ont obtenu l'accès à la caméra ne sont pas tenues d'informer l'utilisateur lorsqu'une session de capture de photos ou de vidéos est en cours.
Voici une démonstration vidéo.
Une application malveillante pourrait télécharger des images et des vidéos de l'utilisateur sur ses serveurs ou même diffuser un flux en direct à partir de l'appareil lui-même. Comme les images téléchargées dans les données de localisation intégrées au cloud, tout ce qu'un acteur malveillant doit faire à ce stade pour découvrir l'identité de l'utilisateur est exécuté une analyse de reconnaissance faciale sur le support.
Et avec le nouveau cadre Vision d'iOS 11, une telle application pourrait même suivre vos mouvements faciaux et déterminer votre humeur. Si une application ne fonctionne pas au premier plan, rien de tout cela n'est possible, ce qui ne veut pas dire que ce n'est pas un problème majeur de confidentialité. Felix a divulgué le problème à Apple, il reste donc à voir si et comment la société Cupertino peut choisir de le résoudre.
Le problème est qu'il n'y a aucun moyen de savoir si certaines des applications que vous avez sur votre iPhone et auxquelles vous avez déjà donné accès à vos bibliothèques d'images et caméras peuvent contenir ou ont été mises à jour avec le code malveillant.
Felix suggère que les utilisateurs utilisent des couvertures d'appareil photo ou au moins révoquent l'accès à l'appareil photo pour toutes les applications et prennent plutôt des photos avec l'application Appareil photo intégrée d'Apple tout en utilisant les actions de feuille de Copier et Coller Partager pour déplacer leurs médias entre les applications. Il a également proposé d'afficher une icône dans la barre d'état iOS lorsque la caméra est active ou d'ajouter une LED aux caméras iPhone qui ne peuvent pas être contournées par les applications en bac à sable, "qui est la solution élégante que le MacBook utilise."
Les créateurs d'Astropad et de Luna Display ont récemment montré quelque chose de similaire à l'application de Felix dans leur application Luna Display, vous pouvez appuyer sur la caméra frontale pour afficher un panneau d'options.
"Lorsque nous avons manqué de boutons pour masquer l'interface utilisateur de notre logiciel, cela nous a vraiment obligés à utiliser notre imagination", ont-ils écrit dans un article de blog. "Au lieu de presser l'interface utilisateur là où elle ne correspondait pas, nous avons construit un nouveau bouton pour le cacher: il s'appelle le bouton de la caméra."
Soit dit en passant, Felix a récemment dévoilé une autre application de validation de principe qui pourrait tromper l'utilisateur en lui fournissant son mot de passe Apple ID en affichant une fenêtre contextuelle similaire à celle utilisée par le système..
Cet exploit de caméra vous concerne-t-il? Si oui, quelles protections Apple devrait-il intégrer à iOS pour empêcher les applications d'enregistrer des utilisateurs à leur insu?
Laissez votre commentaire ci-dessous.