Феликс Краузе, создатель Fastlane.Tools и по совместительству сотрудник Google, обнаружил, что любое iOS-приложение способно «подсматривать» за пользователями без их ведома. Как оказалось, однажды получив доступ к камере, программа будет функционировать в стандартном режиме, при этом её разработчики смогут фотографировать или снимать на видео всё происходящее.
Чтобы продемонстрировать работу этой уязвимости, Феликс Краузе написал приложение, имитирующее обычную социальную сеть. При запуске оно запрашивает доступ к камере, чтобы якобы сделать фото для аватара, — стандартная практика для подобных сервисов. Но затем программа начинает загружать в ленту снимки, снятые в фоне на фронтальную камеру.
Инженер утверждает, что уязвимость позволяет загружать снимки и видео на серверы приложения, включая трансляцию в режиме реального времени с iPhone. Он решил, что злоумышленники могут определить местоположение пользователя на основе данных с фотографии или запустить распознавание лица, чтобы определить его личность. Ко всему прочему, это отличный инструмент для рекламных организаций, которые могут следить за реакцией человека на тот или иной товар.
Разработчик утверждает, что единственным способом обезопасить себя является использование стикеров, закрывающих объективы камер. Компания Apple пока не прокомментировала ситуацию.