iPhoneアプリがスパイ化? カメラへのアクセス許可って思ったより危険だった
Image: Apple

iPhoneアプリがスパイ化? カメラへのアクセス許可って思ったより危険だった

よく知らないアプリとか、むやみに許可しない方がよさそう。

iPhoneユーザーの方、要注意です。Googleの著名なエンジニアが、アプリに対してカメラへのアクセスを許可することの危険性を指摘しています。いわく、悪意のあるiOSアプリは、ユーザーの同意なしにいつでもiPhoneのカメラを起動し、トイレにいるユーザーなどの写真や動画を撮れてしまうらしいんです。エンジニア氏はその証拠としてデモアプリも公開していて、そのデモアプリは、第三者が使ってもたしかに彼のいうとおり機能しています。

そのエンジニア、Felix Krauseさんは、デベロッパー向けツールfastlaneの創立者で、fastlaneは今年Googleに買収されました。Krauseさんは自身のブログでこの問題を指摘し、悪意のある開発者がどんなことをする可能性があるかを具体的に列挙しています。

・前面・背面のカメラにアクセス

・アプリが起動中のとき、ユーザーを勝手に撮影

・ユーザーに知らせることなく、写真や動画を撮影

・写真や動画をすぐにアップロード

・リアルタイムの顔認識を使って、顔の特長や表情を読み取る

Krauseさんはこれをさらに証明すべく、カメラへのアクセス許可を悪用するアプリをGitHubにアップしました(一応書いておきますと、これはGoogleが承認したうえじゃなく彼個人のプロジェクトです)。Krauseさんの説明によれば、このアプリはiPhoneにインストールされると、ユーザーがカメラのアクセス権を承認するだけで、ランダムに写真を撮ったり、顔認識ソフトウェアを使ったりするそうです。動画による説明がこちら。

Video: Felix Krause/YouTube

たしかにこの動画で、最初にSNSっぽいアプリにカメラへのアクセスを与えると、中盤からはそのSNSにKrauseさんの仏頂面が次々とアップされていきます。つまりこのデモアプリがKrauseさんのiPhoneのカメラをある意味乗っ取って、勝手に写真をアップロードしてるってことがわかります。

Motherboardもこのアプリを試用し、たしかにKrauseさんが言うとおりに動作していることを確認したそうです。KrauseさんはMotherboardに対し、このデモアプリでは写真をどこかにアップロードしたり、勝手にユーザーのカメラロールに保存したりはしないと言っていますが、悪意のあるデベロッパーが同じシステムを作ったとしたら、何をするかはまったくわかりません。

App Storeの審査プロセスは厳しいことで有名なので、KrauseさんのアプリはApp Storeには入っていません。米GizmodoではAppleにKrauseさんの発見に対するコメントを求め、今後カメラへのアクセス許可についてユーザーがもっとコントロールできるようにするのかどうかを確認しようとしましたが、まだ回答はありません。

Krauseさんのプロジェクトは潜在的な問題への注意を喚起していますが、だからといってこういう問題がApp Storeで多いということにはなりません。Motherboardが指摘しているように、ユーザーの操作なしで自動的に写真や動画を撮る機能はこちらのアプリなどで使われていて、これを使うとライフログ的なものができたり(またはユーザー自身が隠し撮りに使うケースもありそうですが)するようです。

アプリ開発者による隠し撮りを防ぐ方法として、Krauseさんはいくつかの選択肢をあげています。たとえばカメラにカバーを付けたり、そもそもカメラへのアクセスを全部拒否して、必要なときに毎回手作業でスクリーンショットを画像を必要としているアプリにペーストする、といった形などでしょう。でももっと根本的な(でも多分実現しない)Krauseさんの解決策案は、AppleがiPhoneの仕様を変えて、カメラが使われているときは前面・背面のLEDライトを点滅させる、というもの。Macではすでにこうなってますね。

この問題はバグじゃなくて仕様らしいので、アプリにカメラへのアクセスを許可するってことは、アプリ開発者の人からいつでも見られる可能性があると意識していたほうがよさそうです。カメラへのアクセスなんか許可してませんけど?という方には、Krauseさんは「設定>プライバシー>カメラ」でどんなアプリがアクセス可能になっているか確認してみて!と呼びかけていますよ。

Image: Apple
Source: Felix Krause via The Next Web, Motherboard, fastlane
Rhett Jones - Gizmodo US[原文
(福田ミホ)

あわせて読みたい

powered by