La aplicación de prueba de concepto aprovecha los permisos de la cámara iOS para tomar fotos y videos en secreto

Felix Krause, investigador y fundador de Fastlane.Tools, ha creado una aplicación de prueba de concepto que demuestra la facilidad con que una aplicación no autorizada podría explotar los permisos de la cámara iOS para tomar fotografías y grabar videos del usuario en secreto en primer plano.

Como señaló The Next Web y Motherboard, la aplicación de prueba de concepto de Felix, llamada watch.user, presenta el cuadro de diálogo de permisos de cámara estándar de iOS que normalmente verías en cualquier aplicación de edición de fotografía o imagen que necesitara acceso a las cámaras del dispositivo.

Todo lo que el usuario debe hacer es otorgar a la aplicación acceso a las cámaras.

A partir de ahí, la aplicación puede tomar fotos y grabar videos del usuario a través de la cámara frontal o trasera. El usuario no se daría cuenta de nada porque las aplicaciones que han obtenido acceso a la cámara no están obligadas a informar al usuario cuando una sesión de captura de fotos o videos está en curso.

Aquí hay un video de demostración.

Una aplicación maliciosa podría subir imágenes y videos del usuario a sus servidores o incluso transmitir una transmisión en vivo desde el propio dispositivo. A medida que las imágenes cargadas en los datos de ubicación de incrustación en la nube, todo lo que un actor malicioso debe hacer en este punto para descubrir la identidad del usuario es ejecutar un análisis de reconocimiento facial en los medios.

Y con el nuevo marco Vision de iOS 11, dicha aplicación podría incluso rastrear tus movimientos faciales y determinar tu estado de ánimo. Si una aplicación no se está ejecutando en primer plano, nada de esto es posible, lo que no quiere decir que este no sea un problema importante de privacidad. Félix ha revelado el problema a Apple, por lo que aún está por verse si la compañía de Cupertino puede elegir cómo abordarlo y cómo lo hará.

El problema es que no hay forma de saber si algunas de las aplicaciones que tiene en su iPhone a las que ya ha brindado acceso a sus bibliotecas de imágenes y cámaras pueden contener o han sido actualizadas con el código malicioso.

Felix sugiere que los usuarios usen las cubiertas de la cámara o al menos revoquen el acceso a la cámara para todas las aplicaciones y tomen fotos en su lugar con la aplicación de cámara incorporada de Apple mientras usan las acciones Copiar y Pegar compartir hoja para mover sus medios entre aplicaciones. También propuso que se muestre un ícono en la barra de estado de iOS cuando la cámara esté activa o que se agregue un LED a las cámaras de iPhone que las aplicaciones de espacio aislado no puedan solucionar, “que es la solución elegante que utiliza el MacBook”.

Los fabricantes de Astropad y Luna Display recientemente mostraron algo similar a la aplicación de Felix: en su aplicación Luna Display, puede tocar la cámara frontal para mostrar un panel de opciones.

“Cuando nos quedamos sin botones para ocultar la interfaz de usuario de nuestro software, realmente nos obligó a usar nuestra imaginación”, escribieron en una publicación de blog. “En lugar de presionar la IU donde no encajaba, creamos un nuevo botón para ocultarlo: se llama el botón de la cámara”.

Por cierto, Felix reveló recientemente otra aplicación de prueba de concepto que podría engañar al usuario para que proporcione su contraseña de ID de Apple al mostrar una ventana emergente similar a la utilizada por el sistema.

¿Te preocupa esta hazaña de la cámara? Si es así, ¿qué protecciones de protección debería Apple incorporar en iOS para evitar que las aplicaciones graben a los usuarios sin su conocimiento?

Deja tu comentario a continuación.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *