Ha engedélyezi az iPhone alkalmazások számára a kamera elérését, az alkalmazás titokban képeket és videókat készíthet rólad, amíg az alkalmazás az előtérben van - figyelmeztette a biztonsági kutató szerdán.
Felix Krause, aki nemrégiben figyelmeztette a rosszindulatú iPhone jelszó-előugró ablakok veszélyét, írta egy blogbejegyzés, mint egyfajta PSA iPhone felhasználók számára. Nem világos, hogy ez nem hiba, hanem valószínűleg szándékos viselkedés.
Ez azt jelenti, hogy akkor is, ha a kamerát nem látja „nyitva” a képernyőn megjelenő kereső formájában, egy alkalmazás továbbra is készíthet fényképeket és videókat. Nem ismert, hogy jelenleg hány alkalmazás csinálja ezt, de a Krause létrehozott egy tesztalkalmazást, mint koncepciót.
Ez a viselkedés teszi lehetővé bizonyos „kém” alkalmazásokhoz hasonlóakat Stealth Cam és a Easy Calc - Camera Eye létezni. De még akkor is, ha ez a viselkedés az iOS-fejlesztők és a hardcore felhasználók körében jól ismert, érdemes megjegyezni, hogy minden kamera engedélyével rendelkező alkalmazás technikailag képes ilyen módon fényképezni.
"Ez a legtöbb embernek fogalma sincs, mivel szerintük a kamerát csak akkor használják, ha látják a kamera tartalmát, vagy egy LED villog" - mondta Krause az alaplapnak a Twitteren keresztüli közvetlen üzenetben. Krause jelenleg a Google-nál dolgozik, de ott végzett munkájától függetlenül végezte és publikálta ezt a kutatást.
A legrosszabb, hogy ellentétben a Mac számítógépekkel - amelyek folyamatos zöld fényt mutatnak, amikor a kamera aktív -, az iPhone-nak nincs olyan mechanizmusa, amely jelezné a felhasználó számára, hogy a kamera be van kapcsolva.
"Teljes hozzáférést kaphat mindkét kamerához anélkül, hogy ezt jelezné a felhasználónak" - mondta nekem Krause.
A funkcionalitás kipróbálására Krause létrehozott egy egyedi alkalmazást a „watch.user” néven és megosztotta velem. Telepítettem az iPhone-ra, és ellenőriztem, hogy valóban az alkalmazás fényképeket készített rólam, miközben egyszerűen gördítettem rajta, és még egy rejtett arcfelismerő motort is futott.