Una delle misure di sicurezza di iOS è che le app devono chiedere il permesso al proprietario del dispositivo per accedere a foto, fotocamera e posizione. Ma un ingegnere di Google ha creato un’app dimostrativa che mostra come un’applicazione corrotta possa sfruttare i permessi per scattare foto agli utenti, o addirittura trasmettere un livestreaming sfruttando la fotocamera interna o posteriore.
Chiedere il permesso per accedere alla fotocamera sembra una cosa normale per un’applicazione che, appunto, permette di scattare foto. Ma questa potrebbe anche invadere la privacy degli utenti, scattando foto e registrando video in qualsiasi momento, e senza che questi se ne rendano conto.
L’app demo che Felix Krause ha scritto mostra una piattaforma social che chiede il permesso per accedere al rullino fotografico per consentire l’upload di foto, ma questa scatta foto e registra video mentre semplicemente consulta la bacheca del social network. Di seguito il video che testimonia il tutto:
Krause rivela inoltre che il riconoscimento facciale può essere utilizzato per identificare ogni singolo utente, e che addirittura le espressioni facciali possono essere sfruttare per capire come un utente reagisce alla vista di determinati annunci pubblicitari che vengono mostrati nel feed.
Il problema è descritto molto chiaramente, ed è ovvio: una volta concessi i permessi per utilizzare la fotocamera, l’applicazione per definizione può utilizzarla quando vuole. Il processo di revisione di Apple dovrebbe essere in grado di scoprire applicazioni malintenzionate, quindi almeno su App Store il rischio è relativamente basso.
Detto ciò, il processo di revisione delle app non è perfetto. Sappiamo che, ad esempio, Uber tracciava le posizioni dei suoi utenti dopo una corsa. Insomma, un abuso dei permessi molto simile a quello in questione. Krause suggerisce qualche opzione per chiudere la scappatoia.
Offrire un modo per garantire un accesso temporaneo alla fotocamera (ad esempio per scattare e condividere una foto con un amico tramite un’app di messaggistica), oppure mostrare un’icona nella barra di stato che informa che la fotocamera è attiva, rendendo la barra di stato obbligatoriamente visibile ogni volta che un’app accede alla fotocamera.
Kruise suggerisce poi una terza opzione: utilizzare un LED in stile Mac sulla parte frontale dello smartphone che si accende quando la fotocamera è in uso.
Cosa ne pensate delle “rivelazioni” di Krause? Vi fidate al 100% delle applicazioni che utilizzate quotidianamente? Dite la vostra nei commenti.
Via | 9to5mac
Leggi o Aggiungi Commenti