| 26 октября 2017 г. — 4:00 PT
Одной из функций конфиденциальности iOS является то, что приложения должны запрашивать разрешение, если они хотят получить доступ к таким вещам, как ваши фотографии, камера и местоположение. Но инженер Google создал демонстрационное приложение, чтобы показать, как вредоносное приложение может злоупотреблять разрешениями, чтобы незаметно фотографировать вас во время использования приложения — или даже вести прямую трансляцию видео с ваших передней или задней камер.
Проблема, по словам Феликса Краузе, заключается в том, что пользователям предлагается предоставить универсальное разрешение. Может существовать законная причина для приложения запрашивать доступ к вашей камере, чтобы сделать фотографию в приложении, но затем оно сможет снимать фотографии и видео в любое время, когда оно находится на переднем плане, не предупреждая вас никоим образом…
Демонстрационное приложение, которое он написал, показывает приложение для социальных сетей, запрашивающее разрешение на доступ к вашей камере, чтобы позволить вам загрузить фотографию, а затем незаметно делает фотографии и видео, пока вы просто просматриваете ленту. Вы можете увидеть это в действии на видео ниже.
Он также описывает, как распознавание лиц может быть использовано для идентификации вас и даже для анализа выражения лица, чтобы измерить вашу эмоциональную реакцию на такие вещи, как реклама, отображаемая в ленте. Это снова демонстрируется в приложении. Его приложение объясняет, как будет использоваться камера, но вредоносное приложение, очевидно, могло бы сделать безобидное заявление.
Слабость, которую он описывает, довольно очевидна: как только вы предоставляете разрешение на доступ к камере, приложение по определению может использовать ее всякий раз, когда она находится на переднем плане. Процесс проверки приложений Apple должен обнаруживать вредоносные приложения, поэтому риск относительно невелик.
Тем не менее, процесс проверки приложений не идеален. Мы уже видели, например, как Uber смог отслеживать местоположение пользователей после окончания поездки в результате похожего злоупотребления разрешениями. Краузе предлагает несколько вариантов для закрытия лазейки.
Предложить способ предоставления временного доступа к камере (например, для создания и отправки одной фотографии другу в приложении для обмена сообщениями) [или] показывать значок в строке состояния, указывающий, что камера активна, и принудительно отображать строку состояния всякий раз, когда приложение обращается к камере.
Вариантом этой темы было бы требовать от приложений издавать звук затвора при съемке фотографии.
Он также предлагает третье предложение: использовать светодиод в стиле Mac на передней панели телефона, который загорается при использовании камеры. Но поскольку Apple уже заменила полноразмерный «лоб» iPhone выемкой в iPhone X и, несомненно, стремится полностью избавиться от нее со временем, я думаю, что этот поезд ушел.
Хотели бы вы увидеть одну из предложенных им защитных мер, или вы довольны тем, что процесс проверки приложений будет выявлять вредоносные приложения? Сообщите нам свое мнение в комментариях.
Via TNW