Felix Krause, ein österreichischer Entwickler und Gründer des Start-ups Fastlane, hat eine weitere Schwachstelle in Apples mobilem Betriebssystem iOS entdeckt. Krause zufolge müssen Apps lediglich einmal die Berechtigung für den Zugriff auf Front- und Hauptkamera abfragen, danach könnten sie, solange die App aktiv ist, jederzeit darauf zugreifen.
Der Nutzer erhält zudem keine Benachrichtigung über die Aufnahme, wie es beispielsweise beim Zugriff auf die GPS-Funktion der Fall ist. Das würde es Angreifern ermöglichen, den Nutzer heimlich mit einer App zu überwachen und jederzeit Fotos und Videos anzufertigen. Auch Livestreams könnten unbemerkt gestartet werden.
Demo-App simuliert Schwachstelle
Das Problem sei insbesondere deswegen kritisch, weil viele Apps die Berechtigung für banale Funktionen anfordern. So bieten einige Apps die Funktion an, ein Profilfoto für den Account anzufertigen. Obwohl die Funktion nur einmal zu Beginn benötigt wird, erhält die App aber dauerhaft das Recht, auf die Kamera zuzugreifen.
Krause nennt zahlreiche Beispiele, wobei ihm wohl „Überwachung auf der Toilette“ die größten Sorgen bereiten dürfte. Er hat auch eine Demo-App veröffentlicht, die die Problematik demonstriert. Zudem zeigt Krause, wie dank dem neuen Vision-Framework sogar in Echtzeit die Emotionen des Nutzers unbemerkt über die Kamera aufgezeichnet werden können.
Nutzer sollte Kamera abkleben
Derzeit ist noch nicht bekannt, ob Apps sich dieses Verhalten unter iOS 11 zunutze gemacht haben. Krause fordert von Apple, dass diese künftig auch den „Einmal-Zugriff“ erlauben, sodass der Nutzer der App nicht freie Hand lassen muss. Zudem soll iOS bzw. die Kamera per LED (ähnlich wie bei Laptops) anzeigen, wenn die Kamera aktiv ist.
Er rät iOS-Nutzern, die Kameras abzukleben, wenn diese nicht verwendet werden, sowie allen Apps vorerst die Kamera-Berechtigung zu entziehen. Wenn man Fotos oder Videos machen will, sollte man lediglich Apples Kamera-App nutzen.