Kỹ sư Google phát hiện lỗ hổng bảo mật mới trên iOS, cho phép quay lén người dùng

Một kỹ sư Google tên Felix Krause vừa phát hiện ra một lỗ hổng bảo mật nghiêm trọng trên iOS, cho phép các ứng dụng đã được cấp quyền truy cập camera có thể bí mật chụp ảnh hoặc quay phim người dùng mà không để lại bất kỳ dấu hiệu gì.

Theo Neowin, Krause cho biết một khi người dùng đã cấp quyền truy cập camera cho một ứng dụng bất kỳ, thì các ứng dụng này sẽ có thể sử dụng cả camera trước và sau để chụp hình, quay phim người dùng bất kì lúc nào, miễn là ứng dụng đó đang được mở (không chạy nền), đồng thời tải các hình ảnh chụp được lên mạng ngay lập tức và chạy tính năng nhận diện khuôn mặt thời gian thực để "đọc" biểu cảm khuôn mặt người dùng một cách bí mật.

Điều đáng nói là tất cả các hoạt động nêu trên đều diễn ra rất "thầm lặng", không có bất kỳ dấu hiệu nào cảnh báo người dùng rằng chiếc iPhone của họ đang chụp hình chủ nhân nó. Không một âm thanh, không sáng màn hình, không đèn LED!

Để chứng minh cho phát hiện của mình, Krause đã viết một ứng dụng, trong đó yêu cầu quyền truy cập camera. Sau khi được cấp phép, ứng dụng này đã chụp hình anh mỗi giây một tấm và tự động tải lên một địa chỉ được định trước trong khi nó đang được mở. Các bạn có thể xem trong đoạn video dưới đây:

Krause cũng cho biết thêm rằng, trong khi các máy Mac sẽ có một đèn LED xanh lá báo hiệu camera đang được sử dụng, thì trên iPhone không có cách nào người dùng biết được điều này. Không những thế, bằng cách sử dụng Vision Framework trên iOS 11, các ứng dụng như trên có thể lợi dụng và lập trình camera cả trước lẫn sau nhằm kích hoạt chế độ nhận diện khuôn mặt, tức là nó sẽ ghi hình lại ngay lập tức khi phát hiện ra khuôn mặt ai đó đang nhìn vào màn hình.

Như vậy, về lý thuyết sẽ có những ứng dụng hay game lợi dụng lỗ hổng này để chụp và tải lên ảnh của những người dùng đang chơi game... trong toilet, những người đang sử dụng ứng dụng trước khi bước vào phòng tắm, khi họ ngồi trên bàn và nhìn vào các tài liệu quan trọng... Nói tóm lại, trong bất kỳ tình huống nào người dùng nhìn vào màn hình iPhone của họ!

Krause đưa ra một số lời khuyên có thể giúp người dùng tránh những phiền toái này, như họ có thể sử dụng một thứ gì đó (có thể là các loại cover được bán rất nhiều trên Amazon) để che camera lại, hoặc vào phần cài đặt của iOS và xoá mọi quyền truy cập camera mà họ đã cấp cho các ứng dụng đáng nghi. Anh cũng đưa ra đề xuất với Apple rằng, họ nên cho phép cấp quyền truy cập camera tạm thời thay vì vĩnh viễn, hoặc tạo ra một thông báo mỗi khi camera iPhone đang hoạt động để người dùng biết.

Đây không phải là lần đầu một kỹ sư Google phát hiện ra một lỗ hổng nguy hiểm trên các sản phẩm của đối thủ. Năm ngoái, họ cũng tìm ra một lỗi nguy hiểm trên trình antivirus cho Mac, hay nhiều lỗi khác trên các trình duyệt Edge và Internet Explorer của Microsoft.

Theo Theo Vnriview
kĩ sư ứng dụng game hình ảnh
MỚI - NÓNG

Có thể bạn quan tâm