Talán kémkednek utánad, és még csak nem is tudsz róla!
Eljött a Nagy Testvér ideje, és az iOS 11 nagy segítséget nyújt neki a biztonsági résekkel.
Felix Krause, fejlesztő különféle biztonsági kérdéseket szokott elemezni és körüljárni a blogjában. Nemrég arra hívta fel a figyelmet, hogy milyen ügyes, és egyszerű módszerrel képesek fejlesztők egy ártatlannak tűnő alkalmazást is egyfajta trójaiként felhasználva, egy kérdés formájában ellopni a felhasználó Apple ID adatait. Most egy még kínosabb dologról rántotta le a leplet blogjában.
Krause szerint, amikor egy alkalmazásnak engedélyezi a felhasználó, hogy hozzáférjen a kamerájához, akkor az onnantól azt jelenti, hogy az app:
- mindkét kamerához hozzáférést kap,
- az alkalmazás segítségével bármikor rögzítheti a távolból a felhasználót, amikor az app előtérben van,
- készíthet képeket és videókat a felhasználó tudta nélkül,
- azonnal feltöltheti a készített képeket/videókat,
- használhatja arra is kamerát, hogy megtudja a felhasználó épp mit csinál, de akár még azt is, hogy merre jár, amit a kép adataiból is megtudhat.
- a felhasználóról készült élővideót akár streamelheti a neten
- futtathat valós idejű arcfelismerést, ami rögzíti az arc jellegzetességeit, vagy jellemző kifejezéseit, akár 3D modellt is készíthet az arcáról
Felix szavait idézve:
„Használtad már valaha is a vécén ülve a telefonod?”
A lényeg, hogy a fiatal fejlesztő szerint a legrosszabb az egészben, hogy mindezen dolgok megtörténhetnek úgy, hogy az égvilágon semmit sem veszünk mindebből észre. Ez így azért elég jól hangzik?
Mert gondoljunk csak bele, hogy hány alkalmazás kér hozzáférést a kamerához! Hánynak adtunk ilyesfajta engedélyt, amióta megvan a készülék? Legfőképpen pedig azóta hányszor használtuk az iPhone-t olyan helyzetben, amit nem szeretnénk, hogy nyilvánossá válna? Hát… Aú.
Az iOS 11-et pedig Krause azért találja különösen zűrösnek, mert a beépített Vision framework használatával, szerinte szinte bármelyik fejlesztő könnyedén elemezheti valós időben az arcvonásokat, a szemeket, a szájat és magát az arcképet.
Mi lehet akkor megoldás?
A felhasználó részéről a legjobb, amit tehet, ha a kamerát letakarja. Már kaphatók különféle kamera takarók, a legegyszerűbb mégis egy post it erre a célra. (A számítógépe kameráján például maga Mark Zuckerberg is mindig ilyet használ.)
Aztán, ezen kívül lehetőségünk van visszavonni az engedélyeket az alkalmazásoktól, és kizárólag a gyári Kamera appot használni. Az olyan alkalmazásoknál, ahol képre van szükség, inkább a Fotókból kiválasztani az app számára, amit szeretnék. (Bár még ez utóbbi is problematikus lehet!)
Az üzenőalkalmazásoknál a legjobb, ha akár egyszerűen kiválasztjuk, másoljuk, majd beillesztjük a képeket. Persze, ha erre van egyáltalán mód erre az appban...
Az ifjú titánnak a fejlesztői oldal részére is akad tanácsa, és persze ezeket az ötleteit és biztonsági aggályait már az Apple-nek is jelentette. Jó megoldást lát abban, ha az alkalmazások csak ideiglenes, átmeneti hozzáférést kapnak a kamerához. Vagy a kijelző felső sávjában mindig megjelenik egy státuszikon, ha bármelyik kamera használatban van. Vagy akár a készülék kamerája mellett fizikailag is el lehetne helyezni egy LED-et, ami visszajelzi, ha az alkatrész üzemel.
Felix bizonyítandó állítását maga is létrehozott egy watch.user elnevezésű alkalmazást, amivel szemlélteti az egész problémát. Bár az App Store-ba nem töltötte fel, de elérhetővé tette az érdeklődő fejlesztők számára. Ez pedig nem az első ilyen, egy adott problémára figyelemfelhívó alkalmazása. Készített már a fent említett Apple ID lopást szemléltető appot, a felhasználó helyszínének megállapítására, valamint a giroszkóp veszélyeire figyelmeztetőt is.
Hát, ki tudja. Talán a nagy Woz, Steve Wozniak is pontosan ezért közölte az iPhone X-re, hogy köszi, de köszi nem…
Forrás: AppleRider/ Felix Karuse
Kapcsolódó cikk:
- Mobiljainkról lop adatokat az új digitális kártevő
- A mobiltelefonok fele kockázati tényező
- 8 biztonsági tipp 2017-re