iOSのプライバシー機能の一つとして、アプリが写真、カメラ、位置情報などにアクセスする際、許可を求めることが義務付けられています。しかし、Googleのエンジニアがデモアプリを作成し、不正アプリが権限を悪用してアプリ使用中に密かに写真を撮影したり、フロントカメラやリアカメラからライブストリーミング動画を配信したりする様子を披露しました。

フェリックス・クラウス氏によると、問題はユーザーに包括的な許可を求めていることです。アプリがカメラへのアクセスを要求し、アプリ内で写真を撮ることには一見正当な理由があるように思えるかもしれませんが、その後はフォアグラウンドでいつでもユーザーに何の警告も出さずに写真や動画を撮影できるのです…

彼が作成したデモアプリでは、ソーシャルネットワーキングアプリが写真をアップロードするためにカメラへのアクセス許可を求め、フィードをスクロールしているだけで、何の通知もなく写真や動画を撮影する様子が見られます。この動作は、以下の動画でご覧いただけます。

彼はまた、顔認識技術を使って個人を特定する方法や、表情分析を使ってフィードに表示される広告などに対する感情的な反応を測定する方法も説明しています。これもアプリ内でデモされています。彼のアプリはカメラの使い方を説明していますが、悪質なアプリが無害な発言をする可能性は明らかです。

彼が説明する弱点は、ある意味明白です。カメラへのアクセスを許可すれば、アプリはフォアグラウンドでいつでもカメラを使えるようになります。Appleのアプリ審査プロセスでは不正アプリが検出されるはずなので、リスクは比較的低いでしょう。

とはいえ、アプリの審査プロセスは完璧ではありません。例えば、Uberが同様の権限の濫用によって乗車が終了した後、ユーザーの位置情報を追跡できた事例はすでにあります。クラウス氏は、この抜け穴を塞ぐためのいくつかの選択肢を提案しています。

カメラへの一時的なアクセスを許可する方法を提供します（例：メッセージング アプリで写真を 1 枚撮って友人と共有する）[または] カメラがアクティブであることを示すアイコンをステータス バーに表示し、アプリがカメラにアクセスするたびにステータス バーが強制的に表示されるようにします。

このテーマのバリエーションとしては、写真を撮るときにシャッター音を鳴らすようにアプリに要求するというものがあります。

彼はさらに3つ目の提案も提示している。それは、カメラ使用時に点灯するMacのようなLEDを本体前面に搭載するというものだ。しかし、Appleは既にiPhone XでiPhoneのフルワイドの「額縁」をノッチに置き換えており、将来的にはノッチを完全になくす計画であることを考えると、この提案は既に実現していないと言えるだろう。

彼が提案する保護策を試してみたいと思いますか？それとも、不正アプリの検出はアプリ審査プロセスに任せようと考えていますか？コメント欄であなたの意見をお聞かせください。

TNW経由

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。