iOS的一個隱藏特性是,如果用戶想要訪問照片、攝像頭和位置等信息,他們需要獲得許可。但一名谷歌工程師開發了一款演示應用,展示了一個流氓應用如何濫用權限,在用戶使用該應用時偷偷地給你拍照——甚至是在你的前置攝像頭或后置攝像頭拍攝視頻。
Felix Krause說,問題在于用戶被要求給予全面許可。也許它會發送一個合理的理由讓應用程序請求訪問你的相機,在應用內拍攝照片,但獲得權限之后它可以在任何情況下拍攝照片和視頻,而不會以任何方式提醒你……
他所編寫的演示應用程序展示了一個社交網絡應用程序,它請求允許訪問你的相機,允許使用其上傳照片,然后在你只是滾動瀏覽信息流的時候,在沒有任何通知的情況下應用開始拍攝照片和視頻。
他還描述了面部識別是如何被用來識別用戶的身份,甚至可以通過面部表情來分析、衡量你對廣告中顯示內容的情緒反應。在對流氓應用的演示中,他展示了其會如何使用相機來觀察用戶,就算用戶有所察覺也可以做出一個混淆視聽的模糊應用說明來欺騙用戶。
他所描述的這種弱點是顯而易見的:一旦應用獲得了訪問相機的許可,只要它在前臺運行,iPhone的前后攝像頭可以在該應用運行時開啟。他認為蘋果的應用審核過程應該檢測出類似的流氓應用,以降低用戶使用時風險。
也就是說,目前的應用審核過程并不完美。例如,我們已經看到,Uber在一次類似的濫用權限后,能夠追蹤用戶的位置。根據這樣的情況,Krause提出了幾種方法來彌補這個漏洞。
第一種方式,讓你在使用的時候才可以暫時訪問相機(例如,在消息應用中與朋友分享一張照片),或者在狀態欄中顯示攝像頭處于活動狀態的圖標,并在應用訪問攝像頭時強制顯示狀態欄。
另一個方式是,要求應用在拍照或攝像時發出快門聲音。
此外,他還提出了第三個建議:當攝像頭在使用時,在手機正面的LED燈就會亮起來。不過,由于蘋果已經在iPhone X上取代了全尺寸iPhone的“額頭”,而且毫無疑問,它的目標是及時將其完全移除,所以這個方案在以后可能就不適用了。
與他之前的博客文章類似,Krause的相機隱私項目并不是要披露一個新的iOS漏洞,而是更多地警告用戶,這種侵犯隱私的行為在iOS中是可能的。
京公網安備 11010502049343號