Menú principal

jueves, 2 de noviembre de 2017

Un fallo de privacidad permite a algunas aplicaciones de iOS utilizar tu cámara sin tu permiso

Recientemente Félix Krause, fundador de Fastlane y reconocido desarrollador e investigador de seguridad ha descubierto una vulnerabilidad que afecta gravemente a la privacidad de los usuarios de dispositivos iOS. El método utilizado por Apple para manejar el acceso a su cámara y grabaciones está dejando a muchos de sus fans vulnerables a ser espiados a través de aplicaciones que acceden a su cámara sin proporcionar ninguna clase de aviso o notificación. Esto se debe a que Apple solo solicita el permiso para acceder a la cámara una vez y si se acepta esto le da completa libertad a algunas aplicaciones para activar y desactivar la cámara en cualquier momento.

“Los usuarios de iOS normalmente autorizan a las aplicaciones a acceder a la cámara tan pronto como las descargan. Estas aplicaciones, ya sean de mensajería u de otro tipo pueden reconocer con facilidad la cara del usuario, hacer fotos o utilizar tanto la cámara delantera o trasera para hacer streaming sin el consentimiento del usuario”

El peor escenario que podría darse según Krause, es el de una app que al instalarla nos solicita acceso a la cámara para tomar una foto de perfil y luego sigue tomando fotos del usuario constantemente de forma encubierta. Krause se dió cuenta de que con la última versión de iOS una aplicación puede hacer cosas como detectar la presencia de una segunda persona y emitir videos y fotos en directo con cualquiera de las cámaras del dispositivo, incluso podría acceder los sensores de reconocimiento facial. Hasta ahora, el único modo de prevenir que una aplicación de iOS pueda grabarte sin tu consentimiento es cubrir las cámaras físicamente para inhabilitar sus sensores. También es recomendable revocar el acceso a la cámara de todas las aplicaciones y tomar las fotos desde la cámara y luego importarlas.

Figura 1: Solicitud de acceso a la cámara de iPhone.

Para evitar este tipo de comportamientos Krause sugirió el uso de OTP para acceder a la cámara y la instalación de leds que se enciendan cuando la cámara este grabando. Esta no es la primera vez que Krause destapa un fallo de privacidad de estas magnitudes en iOS, recientemente ha mostrado como los metadatos almacenados por las fotografías de tu galería pueden servir para realizar un mapeo de los lugares que has visitado.

1 comentario:

  1. Estoy en desacuerdo de como se presenta el artículo. El propio Felix Krause lo estuvo discutiendo con Guillherme Rambo por twitter, esto no es ninguna vulnerabilidad descubierta ni nada que no se supiese, Felix ha hecho estas pruebas de concepto para intentar concienciar al usuario medio de los peligros que pueden surgir del uso indebido de herramientas lícitas. Con esto se abre el eterno debate de hasta cuanto se puede comprometer la usabilidad de un sistema de a favor de la seguridad. Al fin y al cabo la aplicación que usó (fácilmente replicable) hacía uso de código lícito, y Felix nunca ha definido este problema como una vulnerabilidad, pero está bien que se realicen estas pruebas para mejorara la visibilidad de estos compromisos de la seguridad que surgen en dispositivos con cámaras y micrófonos (por cierto, se pueden realizar Pruebas de Concepto parecidas incluso con grabaciones de Audio usando AVFoundation). Saludos.

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares