Après avoir démontré qu’il était possible de voler le mot de passe iCloud d’un utilisateur à l’aide d’une boîte de dialogue déguisée et retracer les déplacements d’un possesseur d’iPhone simplement grâce à ses photos, Felix Krause met maintenant en garde contre un risque de détournement des appareils photo.
Le développeur est parvenu à créer un prototype d’application prenant des photos et filmant avec les deux appareils photo de l’iPhone sans que l’utilisateur ne puisse s’en rendre compte. Tout ce dont l’application a besoin, c’est de l’autorisation initiale de l’accès aux appareils photo de l’iPhone. Ensuite, elle est libre de faire ce qu’elle veut en toute discrétion.
Les photos et vidéos de l’utilisateur prises à son insu peuvent être envoyées aussi discrètement vers des serveurs tiers. Un malandrin pourrait également diffuser en direct sur un service web ce qui est capté. Bref, tout est possible du moment que l’utilisateur a donné l’autorisation initiale.
Comme il l’a fait avec ses autres découvertes, Felix Krause a publié le code source de sa nouvelle preuve de concept sur GitHub. Il a également averti Apple de ce risque et propose plusieurs pistes pour éviter tout désagrément : permettre une autorisation seulement temporaire de l’utilisation des appareils photo ; faire apparaître un signe distinctif dans l’interface quand l’appareil photo est utilisé (une icône dans la barre de statut d’iOS, par exemple) ; ajouter deux LED à l’iPhone, comme en ont les Mac pour signaler que leur webcam est active.
En attendant un éventuel correctif, la solution la plus simple pour se protéger est de couvrir les objectifs de l’iPhone. Il y a de petits caches refermables adaptés aux smartphones. De manière générale, il est conseillé de n’autoriser l’accès aux appareils photo qu’aux apps qui en ont vraiment besoin (cela vaut pour les autres types d’autorisations également).
