Felix Krause, Forscher und Gründer von Fastlane.Tools, hat eine Proof-of-Concept-App erstellt, die demonstriert, wie leicht eine betrügerische App die iOS-Kameraberechtigungen ausnutzen kann, um im Vordergrund heimlich Fotos und Videos des Benutzers aufzunehmen.
Wie von The Next Web und Motherboard erwähnt, ruft Felix 'Proof-of-Concept-App "watch.user" das Standarddialogfeld für Kameraberechtigungen für iOS auf, das normalerweise in jeder Foto- oder Bildbearbeitungs-App angezeigt wird, die Zugriff auf Gerätekameras benötigt.
Der Benutzer muss der App lediglich Zugriff auf die Kameras gewähren.
Von dort aus kann die App Fotos und Videos des Benutzers entweder über die Vorder- oder die Rückkamera aufnehmen. Der Benutzer merkt nichts, da Apps, die über Kamerazugriff verfügen, den Benutzer nicht informieren müssen, wenn eine Foto- oder Videoaufnahmesitzung ausgeführt wird.
Hier ist eine Videodemonstration.
Eine böswillige App kann Bilder und Videos des Benutzers auf ihre Server hochladen oder sogar einen Live-Feed vom Gerät selbst senden. Während in die Cloud hochgeladene Bilder Standortdaten einbetten, muss ein böswilliger Akteur zu diesem Zeitpunkt nur noch eine Gesichtserkennungsanalyse auf dem Medium durchführen, um die Identität des Benutzers festzustellen.
Mit dem neuen Vision-Framework von iOS 11 kann eine solche App sogar Ihre Gesichtsbewegungen verfolgen und Ihre Stimmung bestimmen. Wenn eine App nicht im Vordergrund ausgeführt wird, ist dies nicht möglich. Dies bedeutet jedoch nicht, dass dies kein großes Datenschutzproblem darstellt. Felix hat das Problem Apple mitgeteilt, und es bleibt abzuwarten, ob und wie das Unternehmen Cupertino sich dafür entscheidet, es zu lösen.
Das Problem ist, dass Sie nicht feststellen können, ob einige der Apps auf Ihrem iPhone, für die Sie bereits Zugriff auf Ihre Bildbibliotheken und Kameras gewährt haben, den Schadcode enthalten oder mit diesem aktualisiert wurden.
Felix schlägt vor, dass Benutzer entweder Kameraabdeckungen verwenden oder zumindest den Kamerazugriff für alle Apps widerrufen und stattdessen Bilder mit Apples integrierter Kamera-App aufnehmen, während sie die Blattaktionen Kopieren und Einfügen Freigeben verwenden, um ihre Medien zwischen Apps zu verschieben. Er schlug außerdem vor, ein Symbol in der iOS-Statusleiste anzuzeigen, wenn die Kamera aktiv ist, oder iPhone-Kameras eine LED hinzuzufügen, die von Sandbox-Apps nicht umgangen werden kann. "Dies ist die elegante Lösung, die das MacBook verwendet."
Die Hersteller von Astropad und Luna Display zeigten kürzlich etwas Ähnliches wie Felix 'App. In ihrer Luna Display-App können Sie auf die nach vorne gerichtete Kamera tippen, um ein Optionsfeld anzuzeigen.
"Als wir keine Buttons mehr hatten, um die Benutzeroberfläche unserer Software zu verbergen, mussten wir wirklich unsere Vorstellungskraft einsetzen", schrieben sie in einem Blogbeitrag. "Anstatt die Benutzeroberfläche dort einzudrücken, wo sie nicht hineinpasste, haben wir eine neue Schaltfläche erstellt, um sie zu verbergen: die so genannte Kamerataste."
Übrigens hat Felix kürzlich eine weitere Proof-of-Concept-App vorgestellt, die den Benutzer dazu verleiten könnte, sein Apple-ID-Kennwort anzugeben, indem ein Popup angezeigt wird, das dem des Systems ähnelt.
Ist diese Kamera für Sie von Nutzen? Wenn ja, welche Schutzmaßnahmen sollte Apple in iOS integrieren, um zu verhindern, dass Apps Benutzer ohne deren Wissen aufzeichnen?
Hinterlassen Sie Ihren Kommentar unten.
