Il arrive cependant que des chercheurs trouvent des failles dans son système. C’est le cas d’un employé de Google qui a expliqué que la caméra de l'iPhone peut être utilisée pour espionner n'importe qui en piratant simplement les applications qui sont fournies avec l'accès à la caméra.
Felix Krause a d’abord rappelé un fait. Une fois que vous avez accordé à une application l'accès à votre caméra, elle peut :
- accéder à la fois à la caméra avant et à la caméra arrière ;
- lancer un enregistrement à tout moment où l'application est au premier plan ;
- prendre des photos et des vidéos sans vous le faire savoir ;
- télécharger (upload) les photos/vidéos qu'elle vient de prendre ;
- exécuter une reconnaissance faciale en temps réel pour détecter les traits ou les expressions faciales.
Que peut faire une application iOS ?
Felix rappelle que, comme sur les autres plateformes, les utilisateurs d'iOS accordent souvent l'accès à une application dès qu'ils l'ont téléchargée (par exemple, pour ajouter un avatar ou envoyer une photo). Dès lors que ces applications ont reçu l’autorisation d’accéder à la caméra, elles sont alors en mesure d’effectuer un certain nombre d’actions parfois sans le consentement de l’utilisateur, parmi lesquelles :
- accéder à la caméra avant et arrière d'un iPhone / iPad à tout moment lorsque votre application est en cours d'exécution ;
- utiliser les caméras avant et arrière pour savoir ce que fait l’utilisateur à un moment donné et où se trouve l'utilisateur en fonction des données d'image ;
- télécharger des images aléatoires du flux vidéo sur un service Web et exécuter un logiciel de reconnaissance faciale approprié, qui lui permet de :
- trouver des photos existantes de la personne sur Internet,
- apprendre à quoi ressemble l'utilisateur et créer un modèle 3D du visage de l'utilisateur ;
- diffuser en direct les images capturées par la caméra de l’utilisateur sur Internet (par exemple, lorsqu'ils sont assis aux les toilettes), avec l'innovation récente concernant les connexions Internet plus rapides, les processeurs plus rapides et les codecs vidéo plus efficaces, cela est difficile à détecter pour l'utilisateur moyen ;
- estimer l'humeur de l'utilisateur en fonction de ce qu'il affiche dans son application (par exemple, le flux d'actualités de son application) ;
- détecter si l'utilisateur est seul devant son téléphone ou regarde du contenu avec une deuxième personne ;
- lancer des enregistrements de superbes vidéos provenant de salles de bains à l'aide de la caméra avant et arrière, pendant que l'utilisateur est sur un réseau social ou joue à un jeu ;
- en utilisant le nouveau framework intégré iOS 11 Vision, chaque développeur peut très facilement analyser en temps réel les traits du visage comme les yeux, la bouche et le visage.
Pour illustrer ses propos, l’ingénieur a proposé la démo suivante :
Aucun avertissement ne s'affiche à l'utilisateur, d’ailleurs aucun indicateur n’est susceptible de faire savoir à l’utilisateur qu’il est en train de se faire enregistrer. C'est la raison pour laquelle l’ingénieur estime qu'Apple doit se concentrer sur les mises à jour de sécurité.
Felix a suggéré à Apple de lancer un indicateur qui pourrait s’afficher dès que la caméra est utilisée pour avertir l’utilisateur. Il propose également à l’éditeur d’iOS de rendre ce type de permission temporaire, ce qui aurait pour effet de réinitialiser l'accès aux applications après un certain temps.
Bien entendu, il a déjà signalé ce bogue à Apple. Mais, en attendant un correctif de sécurité de la part d’Apple, les utilisateurs peuvent se protéger soit en achetant des pochettes qui bloquent les appareils photo lorsqu'ils ne sont pas utilisés, soit en révoquant l'accès à la caméra pour toutes les applications et en s'en tenant à l'application de caméra intégrée.
Source : blog Felix