許多應用程式都會要求使用者給予或多或少的權限,其中最常見的莫過於前後鏡頭攝影功能與相簿取用,而我們也都很自然的「同意」,特別是在使用各種社群與修圖美顏時。一位 Google 工程師發現一項 iOS權限 隱憂,惡意應用程式似乎可以藉由遠端開啟鏡頭並追蹤你的臉部。
iOS權限 隱憂,實在是防君子不防小人
Felix Krause 除了是 Google 的高級安全研究員外,閒暇之餘熱中於研究各種程式語言,而他也是 Fastlane.Tools 的創辦者。近日來他發現了一個 iOS權限 隱憂,竟可讓不安好心的應用程式開發者透過遠端的方式在無聲、無形、無色與無提示的狀況下開啟你的 iPhone 前後鏡頭,並可輕易追蹤你的臉部。
在下載應用程式後,通常僅在初次使用時會被詢問是否允許攝影鏡頭權限,但內藏惡意的應用程式卻能透過這一次性的權限,種種跡象看起來這並不是個 Bug,而是一項內建於 iOS 中的功能,這會導致什麼延伸問題呢?只要任何人會利用這些權限,就可以透過影像數據來查找使用者,並挖掘到目前手機所有人的其他照片,甚至當你坐在馬桶上划著手機等候出恭時也可能被人盯著看。(下面影片是 Felix Krause 的示範)
Felix Krause 說這種狀況幾乎無法預防,目前能夠消極採用的方式只有犧牲使用者體驗拒絕給予攝影權限,或是為你的前後攝影機加蓋,不過這些方式都會為使用者帶來困擾。他除了向 Apple 提出這些問題外,他也建議 Apple 一些目前可行的解決方式,一個是開放「臨時權限」選項,另一個則是在攝影機啟動狀態時可以顯示燈號提示。
◎參考資料: The Register 、 Felix Krause’s Blog 、 TNW