iOS : un risque de détournement des appareils photo à l'insu de l'utilisateur

Stéphane Moussie |

Après avoir démontré qu’il était possible de voler le mot de passe iCloud d’un utilisateur à l’aide d’une boîte de dialogue déguisée et retracer les déplacements d’un possesseur d’iPhone simplement grâce à ses photos, Felix Krause met maintenant en garde contre un risque de détournement des appareils photo.

Le développeur est parvenu à créer un prototype d’application prenant des photos et filmant avec les deux appareils photo de l’iPhone sans que l’utilisateur ne puisse s’en rendre compte. Tout ce dont l’application a besoin, c’est de l’autorisation initiale de l’accès aux appareils photo de l’iPhone. Ensuite, elle est libre de faire ce qu’elle veut en toute discrétion.

Les photos et vidéos de l’utilisateur prises à son insu peuvent être envoyées aussi discrètement vers des serveurs tiers. Un malandrin pourrait également diffuser en direct sur un service web ce qui est capté. Bref, tout est possible du moment que l’utilisateur a donné l’autorisation initiale.

Comme il l’a fait avec ses autres découvertes, Felix Krause a publié le code source de sa nouvelle preuve de concept sur GitHub. Il a également averti Apple de ce risque et propose plusieurs pistes pour éviter tout désagrément : permettre une autorisation seulement temporaire de l’utilisation des appareils photo ; faire apparaître un signe distinctif dans l’interface quand l’appareil photo est utilisé (une icône dans la barre de statut d’iOS, par exemple) ; ajouter deux LED à l’iPhone, comme en ont les Mac pour signaler que leur webcam est active.

En attendant un éventuel correctif, la solution la plus simple pour se protéger est de couvrir les objectifs de l’iPhone. Il y a de petits caches refermables adaptés aux smartphones. De manière générale, il est conseillé de n’autoriser l’accès aux appareils photo qu’aux apps qui en ont vraiment besoin (cela vaut pour les autres types d’autorisations également).


avatar frankm | 

En fait, toute application aillant accès à l'appareil photo si elle passe la validation Apple peut le faire. C'est pas nouveau en fait !
Perso, seules les Applications natives Apple intégrées à iOS ont accès aux photos, les applications tiers vont tout simplement se faire foutre.
Les photos sont retravaillées sur le Mac en dehors de Photos.
Et le comble bien sûr serait d'ouvrir les autorisations d'accès à Facebook, Google & co

avatar CNNN | 

Sauf si tu utilises Whats App , Messenger, Skype ou autres...
En gros si tu utilises ton smartphone comme tout le monde.

avatar LoossSS | 

Tu peux très bien utiliser WhatsApp, Messenger ou Facebook sans leur donner l'accès à tes photos..

avatar pat3 | 

Je pense que les paparazzi ont trouvé leur nouvelle méthode de travail…

avatar r e m y | 

Je ne pensais pas qu'une application, même en ayant été autorisée à accéder à l'appareil photo, pouvait déclencher elle-même la prise de vue sans action de l'utilisateur...
Mais à la réflexion, c'est bien ce que fait Skype par exemple. La vidéo est déclenchée par l'application elle-même.

avatar frankm | 

@r e m y

Il y a une autorisation pour accéder à l’appareil photo et une autre pour les photos

avatar JOHN³ | 

Mouais... dans le même registre on trouve des vidéos de youtubeurs qui réussissent à débloquer des iPhone toutes générations confondus en invoquant siri. J'étais vraiment sur le cul quand j'ai vu ça. Certains veulent aussi démontrer que l'affaire avec la CIA était juste une manœuvre marketing. Des utilisateurs Samsung a n'en pas douter ;-)

Bref.

avatar etienne2pain | 

@JOHN³

Balance les liens stp

avatar frankm | 

@etienne2pain

C’est une des news de ces derniers temps sur iGeneration

avatar Malvik2 | 

bah n’est ce pas là devenir un peu parano de toutes façons ? ce genre de manipulation complexe n’est réservé qu’à une petite élite très doué, ce n’est pas demain la veille que ça se répandra partout...
après ça n’empêche pas de prendre ses précautions évidement

avatar debione | 

La petite élite très douée s'appelle en gros l'ensemble des codeurs pour iOS. 3-4 gulus au fin fond de la chopine j'imagine...

avatar minounet | 

Ouais
Et il parait qu’en donnant son log on peux avoir accès à tout le téléphone
C’est dingue ça hein
Et si on faisait un peux attention à ce que l’on fait ?

avatar pim | 

Reste plus qu’à créer une application qui indique ce qui a été fait avec l’iPhone, et quand. Car la prise d’une photo par exemple doit bien laisser des traces dans un de ces fameux fichiers .log qui répertorient tout ce qui se passe. Ainsi on pourrait déceler toute activité suspecte.

avatar l3aronsansgland | 

Un journaliste d’investigation a découvert comment coder !

avatar Crkm | 

Le comportement normal de l’appareil photo, c’est pas de fonctionner au premier plan, c’est à dire tout bêtement d’afficher à l’écran l’image de la caméra ? Bon, il suffit de rétablir cela, d’empêcher la caméra de fonctionner à l’arrière-plan, et la faille est résolue. Pourquoi cette personne ne propose-t-elle pas cette solution, au lieu de proposer des solutions radicales impossibles à mettre en place rapidement. Cela conduit à se poser des questions sur ses intentions, d’autant plus qu’il met la faille à portée de tous.

avatar frankm | 

@Crkm

C’est vrai que sur un écran si petit, ne devrait tourner que les applications visibles à l’écran. Les autres restent figées en attendant qu’on les invoquent au premier plan.
Réglages > Général > actualisation en arrière plan

avatar ejofejfoejog | 

" ce genre de manipulation complexe n’est réservé qu’à une petite élite très doué, ce n’est pas demain la veille que ça se répandra partout..."

Euh non pas du tout ! n'importe quel développeur iOS peut y arriver à faire cette application.
Dès que l'autorisation de l'appareil photo est acceptée, le développeur fait ce qu'il veut et donc peut te prendre en photo dans tous les sens comme le montre la vidéo. Dans toute les applications on affiche la preview de ce qu'on veut prendre en photo mais rien est obligatoire et donc tu peux afficher ce que tu veux sur l'écran.
Pareil pour l'autorisation des photos, l'application peut envoyer tes 5 000 photos à un serveur tiers, tu verras rien passer !
Oui ces autorisations ne sont pas assez restrictive quand on y pense...

avatar desimages | 

@CNNN
"Sauf si tu utilises Whats App , Messenger, Skype ou autres...
En gros si tu utilises ton smartphone comme tout le monde."

Il suffit d'accorder l'autorisation aux photos (bibliothèque ou pellicule) et pas à l'appareil photo.

avatar debione | 

super efficace pour les vidéo-conférences...

avatar expertpack | 

@desimages

et madame michu ?

avatar Powerdom | 

Dernièrement dans un autre registre l’application de la radio Europe1 m’a demandé l’accès à mon micro lors de son installation...

Du coup je l’ai pas installée.

avatar Rictusi | 

t'es au courant que si tu réponds simplement non, l'application va se lancer et ne pas avoir accès au micro ?

avatar Jeckill13 | 

Le plus simple est quand même d’utiliser son cerveau et de ne pas installer n’importe quoi et donner toute les autorisations sans réfléchir.

avatar rikki finefleur | 

je crois qu'il vaut mieux installer le moins d'applis possible.
C'est tout de même fou qu'un gars puisse te prendre en photo , sans que tu le saches , à n'importe quel moment et sans autorisation de ta part au moment du déclenchement !

Ces smartphones sont de plus en plus intrusifs dans notre vie privée, et se permettent tout et n'importe quoi.

avatar r e m y | 

@Jeckill13

Mais jamais aucune application ne m'a demandé l'autorisation d'acceder à mon cerveau....
Y'a une option à cocher quelque part pour ça?
?

avatar Jeckill13 | 

@r e m y

Ben déjà faut être équipé à la base ! ?? ça doit être coché à la conception. Après c’est trop tard ! ?

avatar marc_os | 

Le SCOOP !
Si on autorise une application à prendre des photos, elle peut prendre des photos !
Merci macg de nous avoir prévenus !

avatar debione | 

Tu as oublié il me semble quelques mots dans ta lecture de l'article...
Du coup, il manque aussi quelques mots dans la réponse...

avatar rikki finefleur | 

marc_os
le souci est de déclencher sans autorisation.
Ce n'est pas parce que tu as un appareil photo que n'importe qui peut déclencher , a n'importe quel moment sans ton autorisation.
Il y a une subtile différence.
Et manifestement peu de personne le savent a part toi bien évidement !

avatar such_bzh | 

Et ça marche même si on retire l’autorisation par la suite dans les réglages ?

avatar KrummenHacker | 

Il est très facile de concevoir ce genre d’application, mais il y toutes les chances qu’elle soit rejetée par le processus de validation Apple, si cette fonctionnalité n’est pas explicitement spécifiée dans sa description.
Ce n’est pas un hasard si l’auteur n’a proposé qu’un prototype de son app. Il savait qu’il n’avait pratiquement aucune chance de la faire admettre sur l’App Store.

avatar debione | 

Genre Lego Nexo, lecteur de QR et autre code bar, les appli de visio, ça en fait des appli avec pratiquement aucune chance...

avatar huexley | 

Idem sur Android :

Détail de l'autorisation (au moins c'est clair) :

Permet à l'application de prendre des photos et de filmer des vidéos avec l'appareil photo. Cette autorisation lui permet d'utiliser l'appareil photo à tout moment sans votre consentement.

avatar franfran94800 | 

Comme avec Messenger: en restant appuyé quelques secondes sur l’icône des photos...

avatar IRONMAN65 | 

Merde quand même,toutes ces portes dérobées créées pour la NSA et que tout le monde dénonce pffff

avatar expertpack | 

ce qui est dommage dans tout ce bordel de developpeurs apple incapable de sortir un produit dans les temps et stable, c’est que le CEO est fier de dire que la securité est la priorité chez Apple pour ses clients.
on encapsule les ID, on crypte tout mais ios est une passoire , comme les autres.
photos volées sur le cloud, bidouille pour acceder aux données.
bref Tim ferait mieux de fermer sa g....

avatar Malum | 

Vous êtes expert en quoi ? En pack de six Kro, non ?

avatar ZANTAR2054 | 

La banques N26 utilise "IDnow", et controle les caméras arrière et avant de l'utilisateur lors de l'inscription (sans son accord).

avatar Brice21 | 

Faut tout de même lancer l’application. Après quand on en train de utiliser une app, la photo doit pas être trop compromettante.

avatar Pascal Funk | 

Bah si,Brice.
Tu joue avec une appli .... elle prends en photo ta copine qui passe nue devant toi (si l'angle du mobile le permet)

Moi je m'en fiche,ma chérie est pas trop mal fichue ;)

avatar ChePaki | 

Pour le micro j’imagine que c’est pareil non ?

CONNEXION UTILISATEUR