Raymon Mens
Raymon Mens Nieuws 27 oktober 2017

Ontwikkelaar legt 3 nieuwe privacyrisico’s in iOS bloot

Met een vrijwel waterdichte sandbox en streng gecontroleerde App Store heeft Apple de beveiliging van iOS op het eerste gezicht prima op orde. Toch zijn er nog behoorlijk wat privacyrisico’s die de iPhone-maker niet helemaal onder controle heeft.

Ontwikkelaar Felix Krause heeft drie nieuwe beveiligingsproblemen ontdekt. Het zijn niet allemaal bugs die direct op te lossen zijn en wij twijfelen tussen paranoia en gerechtvaardigde kritiek. Oordeel zelf:

1) iCloud-wachtwoord achterhalen

iOS heeft vast weleens uit het niets om je iCloud-wachtwoord gevraagd. Soms is dit nodig om een update te downloaden, maar apps kunnen er ook om vragen om Game Center te gebruiken of in-app-aankopen te autoriseren. De gemiddelde iPhone-gebruiker voert zijn wachtwoord gewoon in als het systeem dit vraagt, en daar zit het probleem. Het is super simpel om binnen een app een inlogvenster te maken dat niet van echt te onderscheiden is. Voor de gebruiker lijkt het alsof iOS om het wachtwoord vraagt, maar de pop-up stuurt het door naar de ontwikkelaar.

Zie jij een verschil? Klik/tap voor groter.

Volgens Krause is het moeilijk om het Apple ID van een gebruiker te achterhalen, maar er zijn binnen iOS ook pop-ups die alleen om het wachtwoord vragen. Om zeker te zijn dat het om een verzoek van het systeem gaat, kun je op de home-knop drukken wanneer om je wachtwoord gevraagd wordt. Als de app én het inlogvenster afgesloten worden, is het een poging tot phishing. Blijft de pop-up staan en verdwijnt de app, dan is het een legitieme vraag om je wachtwoord van iOS. Er zijn momenteel geen apps bekend die deze truc gebruiken, maar voorkomen is beter dan genezen.

2) Camera altijd bekijken

Er zijn steeds meer apps die toegang vragen tot de camera. Denk naast fotografie-apps ook aan chat-apps of games die je snel een avatar laten instellen door een foto te maken. Wat blijkt? Als een app eenmaal toegang tot de camera heeft en geopend is, kan deze doorlopend foto’s en video’s opnemen, opslaan of streamen. De gebruiker merkt hier niets van.

Dit komt omdat er geen venster met preview actief hoef te zijn om de camera te gebruiken. Eenmaal toestemming krijgen is genoeg om de camera aan de voor- en achterkant doorlopend te gebruiken. Op de achtergrond is alles mogelijk zolang de app geopend is. De gemiddelde ontwikkelaar zal niet zitten te wachten op foto’s van je gezicht, maar er is meer mogelijk. Denk aan analyse van je omgeving en je gezichtsuitdrukking. Kijk je blij? Dan is het misschien een goed idee om een in-app-aankoop te pushen. Apple kan dit alleen voorkomen door de camera API die ontwikkelaars gebruiken aan te passen.

3) Foto’s bevatten je voetsporen

Naast toegang tot de camera, vragen apps vaak ook toegang tot je fotobibliotheek. Apps mogen dan niet alleen je foto’s gebruiken, maar ook de metadata analyseren. iOS legt bij iedere gemaakte foto de locatiegegevens vast en met deze data kan een gedetailleerd profiel opgebouwd worden. Heb je een vaste baan en maak je tussen 9 en 5 vaak op dezelfde plaats een foto? Vlieg je veel? Naar welke school ga je? Bezoek je veel landen, of ben je misschien gelovig omdat er iedere week een foto rondom een kerk gemaakt wordt?

We kunnen minimaal één sociaal netwerk bedenken dat deze gegevens graag wil verzamelen. Behalve een morele grens is er niets dat Facebook apps met toegang tot je foto’s tegenhoudt je voetsporen digitaal te volgen. Apple heeft dit overigens al proberen aan te pakken. Apps kunnen in iOS 11 toegang vragen tot één foto in plaats van je hele bibliotheek, maar nog maar weinig ontwikkelaars gebruiken deze mogelijkheid.

Klik/tap voor groter.

Krause heeft op zijn GitHub-profiel apps staan die alle genoemde privacyrisico’s uitbuiten (1, 2, 3). Veel risico’s komen voort uit de werking van iOS zelf en Apple zal diepgaande aanpassingen moeten doen om dit tegen te gaan. Of dat ook gaat gebeuren is onduidelijk.

Reageer op artikel:
Ontwikkelaar legt 3 nieuwe privacyrisico’s in iOS bloot
Sluiten