Ứng dụng iPhone có quyền mở camera bí mật chụp hình ảnh mà người dùng không hề hay biết
Nếu bạn tự hào là một người dùng iPhone và tin rằng iPhone là một trong những thiết bị bảo mật tốt nhất thế giới, có lẽ bài viết này sẽ gây sốc cho bạn.
Theo một cảnh báo mới đây của Felix Krause, kỹ sư người Áo đến từ Google, hệ điều hành di động của Apple đang vướng phải một vấn đề bảo mật riêng tư nghiêm trọng.
Krause cho biết vấn đề này nằm ở cách mà các ứng dụng iPhone có thể truy cập quản lý camera một cách dễ dàng, cho phép các nhà phát triển ứng dụng iOS chụp hình, quay video trên cả camera trước và sau của iPhone mà không cần phát bất kỳ cảnh báo nào cho người dùng.
Một số ứng dụng hợp pháp hiện nay có quyền chụp hình bên trong ứng dụng như Facebook, WhatsApp, Snapchat do yêu cầu người dùng cho phép truy cập camera trước đó. Do đó, hệ thống quyền truy cập này không phải là một lỗi hay lỗ hổng mà chỉ là một tính năng hoạt động hoàn toàn bình thường như Apple đã thiết kế. Nhưng Krause đang đề cập đến vấn đề ở đây là từ những ứng dụng độc hại có thể lợi dụng quyền này này để bí mật chụp hình, ghi video lại những hoạt động của nạn nhân mà họ không hề hay biết.
Các ứng dụng iPhone có thể ngầm bật camera lên bất cứ lúc nào?
Theo giải thích của Krause, một khi người dùng cho phép ứng dụng quyền truy cập camera, các nhà phát triển ứng dụng iOS có thể truy cập được :
- Cả camera trước và sau của thiết bị iPhone.
- Chụp hình và ghi lại video bất cứ khi nào ứng dụng được mở.
- Đăng tải những hình ảnh và video được ghi lại ngay lập tức.
- Khởi chạy chế độ nhận diện khuôn mặt theo thời gian thực để đọc biểu hiện trên khuôn mặt của người dùng.
Và tất cả những hành động này đều có thể thực hiện mà không cần phải cảnh báo hay thông báo cho người dùng.
Hơn nữa kể từ khi Apple yêu cầu người dùng cho phép truy cập camera một lần duy nhất và được cấp phép, các ứng dụng này hoàn toàn có thể tự do truy cập camera mà không cần yêu cầu bất kỳ đèn LED hay thông báo nào. Do đó các ứng dụng độc hại hoàn toàn có thể tận dụng lỗ hổng này để đi vượt quyền hạn và thực hiện các hành động gián điệp người dùng.
Nhà nghiên cứu cũng đã nghiên cứu và tìm ra các chứng cứ để chứng minh cách một ứng dụng độc hại có thể lợi dụng quyền hạn để ngầm chụp hình người dùng mỗi khi họ sử dụng ứng dụng, thậm chí là live stream video xung quanh người dùng từ cả camera trước và sau mà không cần thông báo cho họ.
Krause cũng cung cấp một đoạn video ngắn để chứng minh nghiên cứu của mình cho thấy ứng dụng demo của anh có thể chụp hình người dùng ứng dụng mỗi giây. Thậm chí ứng dụng này còn được trang bị hệ thống nhận diện gương mặt người sử dụng chúng.
Anh cảnh báo rằng một ứng dụng giả mạo có thể ghi lại cả những video nhạy cảm từ nhà tắm và các cảnh nhạy cảm khác của người dùng khi tận dụng cả camera trước và sau, khi người dùng vừa tắm vừa lướt mạng xã hội hoặc chơi game nào đó.
Cách bảo vệ bản thân khỏi vấn đề này
Krause khuyến nghị Apple nên giới thiệu một cách mới để người dùng cấp quyền truy cập camera (có thể là quyền tạm thời), cho phép ứng dụng chỉ chụp hình được trong một khoảng thời gian giới hạn nào đó, và ứng dụng này phải xin lại quyền sau khoảng thời gian cho phép. Một cách khác nữa là nên có một đèn cảnh báo hoặc một thông báo nào đó trên iPhone để người dùng có thể biết được khi nào thiết bị đang mở camera và được quay lại.
Người dùng nên chủ trương ngăn chặn các phần mềm độc hại xâm nhập thiết bị iPhone. Hãy luôn tải ứng dụng từ cửa hàng ứng dụng chính thức của Google, đọc các bình luận đánh giá của người sử dụng trước đó về ứng dụng này cũng như các nhà phát triển ứng dụng này có đáng tin cậy hay không.
Theo Krause, có một cách đơn giản và an toàn nhất để bảo vệ người dùng chính là che camera lại khi không cần sử dụng đến như chính CEO Facebook nổi tiếng Mark Zuckerberg đã làm với webcam laptop của mình.
Minh Hương
TIN CÙNG CHUYÊN MỤC
Đọc nhanh tài liệu Word với tính năng AI...
Google tung bản vá bảo mật khẩn cấp cho ...
Phần mềm độc hại Android mới NGate đánh ...
Thời đại AI lên ngôi, ảnh chụp không hẳn...
Trung tâm siêu dữ liệu đang được Google ...
Google cảnh báo về lỗ hổng bảo mật CVE-2...
- Thông báo nghỉ lễ Quốc Khánh 2024
- NTS trao 150 quà tặng cho các em học sinh vượt khó...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Thời đại AI lên ngôi, ảnh chụp không hẳn là bảo ch...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Thông báo nghỉ lễ Quốc Khánh 2024
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Phần mềm độc hại Android mới NGate đánh cắp dữ liệ...