Sau khi minh họa việc tấn công lừa đảo bằng cách dùng mật khẩu Apple để truy cập tải khoản người dùng iPhone, lập trình viên Felix Krause cũng vừa cảnh báo về việc người dùng bị theo dõi lén khi cấp quyền truy cập camera cho các ứng dụng.
Theo đó, Krause cảnh báo rằng bất cứ lúc nào người dùng cấp một phép ứng dụng truy cập camera trước và của iPhone, ứng dụng bí mật có thể chụp ảnh và video của bạn miễn là nó đang chạy trong nền.
Krause cho biết tấn công bằng cách lén theo dõi người dùng qua camera không có gì là mới, nhưng lần này không phải là tấn công theo cách khai thác lỗi trên iOS. Nhiều ứng dụng gần đây yêu cầu quyền truy cập trên iOS, cho phép người dùng đăng ảnh từ Camera Roll, chụp hình mà không cần thoát khỏi chúng.
Krause giải thích rằng khi quyền này được cấp cho một ứng dụng độc hại, các camera phía trước và sau của iPhone có thể được bật khi ứng dụng đó đang chạy. Từ đó nó có thể ghi lại nội dung, tải trực tiếp lên mạng, thậm chí là chạy phần mềm nhận diện khuôn mặt với thời gian thực để phát hiện cảm xúc mà người dùng không biết iPhone đang ghi âm bản thân và xung quanh.
Để chứng minh quan điểm của mình, Krause đã tạo ra một bản demo có tên watch.user, một ứng dụng mạng xã hội giả theo dõi người dùng. Krause giải thích:” Khi người dùng duyệt, họ sẽ đột nhiên nhìn thấy hình ảnh của chính mình được chụp vài giây trước trong khi cuộn qua feed.”
Trong hình trên, anh giải thích rằng với một khuôn khổ tầm nhìn trong iOS 11, một nhà phát triển thậm chí có thể lập biểu đồ khuôn mặt của một ai đó để theo dõi từng sắc mặt của họ và phần mềm của Krause đã hiển thị cảm xúc tương ứng như anh đã nói ở trên.
Krause đã báo cáo vấn đề này cho Apple và đề cập đến một vài cách giải quyết:
– Cung cấp cách để cấp quyền truy cập tạm thời vào máy ảnh (ví dụ để chụp và chia sẻ một bức ảnh với một người bạn trên ứng dụng nhắn tin) liên quan đến vị trí detect.location.
– Hiển thị một thanh trạng thái, cho biết máy ảnh đang hoạt động và buộc thanh trạng thái hiển thị bất cứ khi nào ứng dụng truy cập vào máy ảnh.
– Thêm một đèn LED vào camera của iPhone (cả hai bên) và đèn này không thể hoạt động trên các ứng dụng ngoài sandbox , đó là giải pháp thanh lịch mà MacBook sử dụng
Để kiểm tra lại xem ứng dụng nào có quyền truy cập vào máy ảnh và thư viện ảnh của iPhone hay không, hãy vào Cài đặt trong iOS, nhấn Bảo mật và vào Ảnh và Camera. Các ứng dụng mà bạn đã cấp quyền truy cập cho từng ứng dụng sẽ được liệt kê và có thể thay đổi cài đặt bằng cách bật hoặc chọn “Không bao giờ” cho phép truy cập.
Đây không phải là lỗi trên iOS, nhưng là lời nhắc nhở người dùng nên cẩn thận khi dùng các ứng dụng yêu cầu truy cập camera.
Theo Macrumors