Google 工程師發現 iOS權限 隱憂：可允許應用程式遠端啟動 - 電腦王阿達

許多應用程式都會要求使用者給予或多或少的權限，其中最常見的莫過於前後鏡頭攝影功能與相簿取用，而我們也都很自然的「同意」，特別是在使用各種社群與修圖美顏時。一位 Google 工程師發現一項 iOS權限 隱憂，惡意應用程式似乎可以藉由遠端開啟鏡頭並追蹤你的臉部。

 iOS權限 隱憂，實在是防君子不防小人

Felix Krause 除了是 Google 的高級安全研究員外，閒暇之餘熱中於研究各種程式語言，而他也是 Fastlane.Tools 的創辦者。近日來他發現了一個 iOS權限 隱憂，竟可讓不安好心的應用程式開發者透過遠端的方式在無聲、無形、無色與無提示的狀況下開啟你的 iPhone 前後鏡頭，並可輕易追蹤你的臉部。

在下載應用程式後，通常僅在初次使用時會被詢問是否允許攝影鏡頭權限，但內藏惡意的應用程式卻能透過這一次性的權限，種種跡象看起來這並不是個 Bug，而是一項內建於 iOS 中的功能，這會導致什麼延伸問題呢？只要任何人會利用這些權限，就可以透過影像數據來查找使用者，並挖掘到目前手機所有人的其他照片，甚至當你坐在馬桶上划著手機等候出恭時也可能被人盯著看。(下面影片是 Felix Krause 的示範)

Felix Krause 說這種狀況幾乎無法預防，目前能夠消極採用的方式只有犧牲使用者體驗拒絕給予攝影權限，或是為你的前後攝影機加蓋，不過這些方式都會為使用者帶來困擾。他除了向 Apple 提出這些問題外，他也建議 Apple 一些目前可行的解決方式，一個是開放「臨時權限」選項，另一個則是在攝影機啟動狀態時可以顯示燈號提示。

◎參考資料： The Register 、 Felix Krause’s Blog 、 TNW