iOS : un risque de détournement des appareils photo à l'insu de l'utilisateur
Après avoir démontré qu’il était possible de voler le mot de passe iCloud d’un utilisateur à l’aide d’une boîte de dialogue déguisée et retracer les déplacements d’un possesseur d’iPhone simplement grâce à ses photos, Felix Krause met maintenant en garde contre un risque de détournement des appareils photo.
Le développeur est parvenu à créer un prototype d’application prenant des photos et filmant avec les deux appareils photo de l’iPhone sans que l’utilisateur ne puisse s’en rendre compte. Tout ce dont l’application a besoin, c’est de l’autorisation initiale de l’accès aux appareils photo de l’iPhone. Ensuite, elle est libre de faire ce qu’elle veut en toute discrétion.
Les photos et vidéos de l’utilisateur prises à son insu peuvent être envoyées aussi discrètement vers des serveurs tiers. Un malandrin pourrait également diffuser en direct sur un service web ce qui est capté. Bref, tout est possible du moment que l’utilisateur a donné l’autorisation initiale.
Comme il l’a fait avec ses autres découvertes, Felix Krause a publié le code source de sa nouvelle preuve de concept sur GitHub. Il a également averti Apple de ce risque et propose plusieurs pistes pour éviter tout désagrément : permettre une autorisation seulement temporaire de l’utilisation des appareils photo ; faire apparaître un signe distinctif dans l’interface quand l’appareil photo est utilisé (une icône dans la barre de statut d’iOS, par exemple) ; ajouter deux LED à l’iPhone, comme en ont les Mac pour signaler que leur webcam est active.
En attendant un éventuel correctif, la solution la plus simple pour se protéger est de couvrir les objectifs de l’iPhone. Il y a de petits caches refermables adaptés aux smartphones. De manière générale, il est conseillé de n’autoriser l’accès aux appareils photo qu’aux apps qui en ont vraiment besoin (cela vaut pour les autres types d’autorisations également).
En fait, toute application aillant accès à l'appareil photo si elle passe la validation Apple peut le faire. C'est pas nouveau en fait !
Perso, seules les Applications natives Apple intégrées à iOS ont accès aux photos, les applications tiers vont tout simplement se faire foutre.
Les photos sont retravaillées sur le Mac en dehors de Photos.
Et le comble bien sûr serait d'ouvrir les autorisations d'accès à Facebook, Google & co
Sauf si tu utilises Whats App , Messenger, Skype ou autres...
En gros si tu utilises ton smartphone comme tout le monde.
Tu peux très bien utiliser WhatsApp, Messenger ou Facebook sans leur donner l'accès à tes photos..
Je pense que les paparazzi ont trouvé leur nouvelle méthode de travail…
Je ne pensais pas qu'une application, même en ayant été autorisée à accéder à l'appareil photo, pouvait déclencher elle-même la prise de vue sans action de l'utilisateur...
Mais à la réflexion, c'est bien ce que fait Skype par exemple. La vidéo est déclenchée par l'application elle-même.
@r e m y
Il y a une autorisation pour accéder à l’appareil photo et une autre pour les photos
Mouais... dans le même registre on trouve des vidéos de youtubeurs qui réussissent à débloquer des iPhone toutes générations confondus en invoquant siri. J'étais vraiment sur le cul quand j'ai vu ça. Certains veulent aussi démontrer que l'affaire avec la CIA était juste une manœuvre marketing. Des utilisateurs Samsung a n'en pas douter ;-)
Bref.
@JOHN³
Balance les liens stp
@etienne2pain
C’est une des news de ces derniers temps sur iGeneration
bah n’est ce pas là devenir un peu parano de toutes façons ? ce genre de manipulation complexe n’est réservé qu’à une petite élite très doué, ce n’est pas demain la veille que ça se répandra partout...
après ça n’empêche pas de prendre ses précautions évidement
La petite élite très douée s'appelle en gros l'ensemble des codeurs pour iOS. 3-4 gulus au fin fond de la chopine j'imagine...
Ouais
Et il parait qu’en donnant son log on peux avoir accès à tout le téléphone
C’est dingue ça hein
Et si on faisait un peux attention à ce que l’on fait ?
Reste plus qu’à créer une application qui indique ce qui a été fait avec l’iPhone, et quand. Car la prise d’une photo par exemple doit bien laisser des traces dans un de ces fameux fichiers .log qui répertorient tout ce qui se passe. Ainsi on pourrait déceler toute activité suspecte.
Un journaliste d’investigation a découvert comment coder !
Le comportement normal de l’appareil photo, c’est pas de fonctionner au premier plan, c’est à dire tout bêtement d’afficher à l’écran l’image de la caméra ? Bon, il suffit de rétablir cela, d’empêcher la caméra de fonctionner à l’arrière-plan, et la faille est résolue. Pourquoi cette personne ne propose-t-elle pas cette solution, au lieu de proposer des solutions radicales impossibles à mettre en place rapidement. Cela conduit à se poser des questions sur ses intentions, d’autant plus qu’il met la faille à portée de tous.
@Crkm
C’est vrai que sur un écran si petit, ne devrait tourner que les applications visibles à l’écran. Les autres restent figées en attendant qu’on les invoquent au premier plan.
Réglages > Général > actualisation en arrière plan
" ce genre de manipulation complexe n’est réservé qu’à une petite élite très doué, ce n’est pas demain la veille que ça se répandra partout..."
Euh non pas du tout ! n'importe quel développeur iOS peut y arriver à faire cette application.
Dès que l'autorisation de l'appareil photo est acceptée, le développeur fait ce qu'il veut et donc peut te prendre en photo dans tous les sens comme le montre la vidéo. Dans toute les applications on affiche la preview de ce qu'on veut prendre en photo mais rien est obligatoire et donc tu peux afficher ce que tu veux sur l'écran.
Pareil pour l'autorisation des photos, l'application peut envoyer tes 5 000 photos à un serveur tiers, tu verras rien passer !
Oui ces autorisations ne sont pas assez restrictive quand on y pense...
@CNNN
"Sauf si tu utilises Whats App , Messenger, Skype ou autres...
En gros si tu utilises ton smartphone comme tout le monde."
Il suffit d'accorder l'autorisation aux photos (bibliothèque ou pellicule) et pas à l'appareil photo.
super efficace pour les vidéo-conférences...
@desimages
et madame michu ?
Dernièrement dans un autre registre l’application de la radio Europe1 m’a demandé l’accès à mon micro lors de son installation...
Du coup je l’ai pas installée.
t'es au courant que si tu réponds simplement non, l'application va se lancer et ne pas avoir accès au micro ?
Le plus simple est quand même d’utiliser son cerveau et de ne pas installer n’importe quoi et donner toute les autorisations sans réfléchir.
je crois qu'il vaut mieux installer le moins d'applis possible.
C'est tout de même fou qu'un gars puisse te prendre en photo , sans que tu le saches , à n'importe quel moment et sans autorisation de ta part au moment du déclenchement !
Ces smartphones sont de plus en plus intrusifs dans notre vie privée, et se permettent tout et n'importe quoi.
@Jeckill13
Mais jamais aucune application ne m'a demandé l'autorisation d'acceder à mon cerveau....
Y'a une option à cocher quelque part pour ça?
?
@r e m y
Ben déjà faut être équipé à la base ! ?? ça doit être coché à la conception. Après c’est trop tard ! ?
Le SCOOP !
Si on autorise une application à prendre des photos, elle peut prendre des photos !
Merci macg de nous avoir prévenus !
Tu as oublié il me semble quelques mots dans ta lecture de l'article...
Du coup, il manque aussi quelques mots dans la réponse...
marc_os
le souci est de déclencher sans autorisation.
Ce n'est pas parce que tu as un appareil photo que n'importe qui peut déclencher , a n'importe quel moment sans ton autorisation.
Il y a une subtile différence.
Et manifestement peu de personne le savent a part toi bien évidement !
Et ça marche même si on retire l’autorisation par la suite dans les réglages ?
Il est très facile de concevoir ce genre d’application, mais il y toutes les chances qu’elle soit rejetée par le processus de validation Apple, si cette fonctionnalité n’est pas explicitement spécifiée dans sa description.
Ce n’est pas un hasard si l’auteur n’a proposé qu’un prototype de son app. Il savait qu’il n’avait pratiquement aucune chance de la faire admettre sur l’App Store.
Genre Lego Nexo, lecteur de QR et autre code bar, les appli de visio, ça en fait des appli avec pratiquement aucune chance...
Idem sur Android :
Détail de l'autorisation (au moins c'est clair) :
Permet à l'application de prendre des photos et de filmer des vidéos avec l'appareil photo. Cette autorisation lui permet d'utiliser l'appareil photo à tout moment sans votre consentement.
Comme avec Messenger: en restant appuyé quelques secondes sur l’icône des photos...
Merde quand même,toutes ces portes dérobées créées pour la NSA et que tout le monde dénonce pffff
ce qui est dommage dans tout ce bordel de developpeurs apple incapable de sortir un produit dans les temps et stable, c’est que le CEO est fier de dire que la securité est la priorité chez Apple pour ses clients.
on encapsule les ID, on crypte tout mais ios est une passoire , comme les autres.
photos volées sur le cloud, bidouille pour acceder aux données.
bref Tim ferait mieux de fermer sa g....
Vous êtes expert en quoi ? En pack de six Kro, non ?
La banques N26 utilise "IDnow", et controle les caméras arrière et avant de l'utilisateur lors de l'inscription (sans son accord).
Faut tout de même lancer l’application. Après quand on en train de utiliser une app, la photo doit pas être trop compromettante.
Bah si,Brice.
Tu joue avec une appli .... elle prends en photo ta copine qui passe nue devant toi (si l'angle du mobile le permet)
Moi je m'en fiche,ma chérie est pas trop mal fichue ;)
Pour le micro j’imagine que c’est pareil non ?