Fastlane.Tools の研究者兼創設者である Felix Krause 氏は、不正アプリが iOS カメラの権限を悪用して、フォアグラウンドで実行中にユーザーの写真を密かに撮影したりビデオを撮影したりすることがいかに簡単かを示す概念実証アプリを作成しました。
The Next Web と Motherboard が指摘しているように、watch.user と呼ばれる Felix の概念実証アプリは、デバイスのカメラへのアクセスを必要とするあらゆる写真撮影アプリや画像編集アプリで通常表示される iOS の標準カメラ権限ダイアログを表示します。
ユーザーが行う必要があるのは、アプリにカメラへのアクセスを許可することだけです。
そこから、アプリは前面カメラまたは背面カメラを使ってユーザーの写真を撮影したり、動画を撮影したりできます。カメラへのアクセスを取得したアプリは、写真や動画の撮影中にユーザーに通知する必要がないため、ユーザーは何も気づかないでしょう。
こちらはビデオデモです。
悪意のあるアプリは、ユーザーの画像や動画をサーバーにアップロードしたり、デバイス自体からライブ配信したりする可能性があります。クラウドにアップロードされた画像には位置情報が埋め込まれているため、悪意のある人物がユーザーの身元を特定するために必要なのは、メディア上で顔認識分析を実行することだけです。
iOS 11の新しいVisionフレームワークを使えば、このようなアプリはユーザーの顔の動きを追跡したり、気分を判断したりできます。アプリがフォアグラウンドで実行されていない場合、これらは一切不可能です。しかし、これは重大なプライバシー問題ではないということではありません。フェリックス氏はこの問題をAppleに報告しているため、クパチーノに本社を置く同社がこの問題にどのように対処するかはまだ分かりません。
問題は、iPhone にインストールされていて、すでに画像ライブラリやカメラへのアクセスを許可しているアプリの中に、悪意のあるコードが含まれているか、あるいは悪意のあるコードで更新されているものがあるかどうかを知る方法がないことです。
フェリックス氏は、ユーザーがカメラカバーを使用するか、少なくともすべてのアプリのカメラアクセスを無効にし、Appleの内蔵カメラアプリで写真を撮影し、コピー&ペーストの共有シートアクションを使ってアプリ間でメディアを移動することを提案しています。また、カメラがアクティブなときにiOSのステータスバーにアイコンを表示するか、サンドボックス化されたアプリでは回避できないiPhoneのカメラにLEDを追加することを提案しました。「これはMacBookが採用しているエレガントな解決策です」
Astropad と Luna Display のメーカーは最近、Felix のアプリに似たものを発表しました。Luna Display アプリでは、前面カメラをタップしてオプション パネルを表示できます。
「ソフトウェアのUIを隠すボタンが尽きたとき、私たちは想像力を駆使せざるを得なくなりました」と、彼らはブログ記事に書いています。「UIを無理やり押し込むのではなく、それを隠すための新しいボタンを開発しました。それがカメラボタンです。」
ちなみに、Felix は最近、システムで使用されるものと同様のポップアップを表示してユーザーを騙し、Apple ID のパスワードを入力させることができる別の概念実証アプリを公開しました。
このカメラの脆弱性について、あなたは心配していますか?もしそうなら、アプリがユーザーに知られずに録画するのを防ぐために、AppleはiOSにどのような安全対策を組み込むべきでしょうか?
下記にコメントを残してください。
