Az egyik magyar médium oldalán jelent meg november 24-én egy cikk, amelynek címe azt állítja, hogy “A csalók a kamerádat is használhatják – ezzel a módszerrel védekezhetsz”, amelyet valami okból iPhone-ok képeivel illusztrált a szerkesztő. Nyilván emiatt azok is rákattintanak, akik egyébként nem iPhone-t használnak, hiszen ha már az Apple készülékei is érintettek, akkor az biztosan komoly dolog!

De vajon tényleg ez a helyzet, és iPhone-t használóként is követni kellene a cikk tanácsait? Nézzük meg a főbb állításokat, és hogy kell-e pánikolnunk vagy sem – bár pánikolni igazából sosem szabad, mert abból és az azzal együtt járó kapkodásból semmi jó nem származik.

Az talán mindenki számára világos, hogy érdemes odafigyelni arra, hogy ne nyomjunk rá ész nélkül bármire a készülékünkön, hiszen eszünkbe juthatnak az óvatlan “kattintásokból” adódó naptár-feliratkozások, amelyek például kamu vírusriasztásokkal bombáznak minket folyamatosan, és jellemzően arra próbálnak minket rávenni, hogy egy ismeretlen oldalon megadjuk a bankkártya adatainkat, amikor megpróbálnánk “megvásárolni” a vírusirtót az iPhone-ra. Más kérdés, hogy iPhone-ra nincs és az alkalmazások homokozója (sandbox) miatt nem is lehet vírusirtó, mert az appok a sandbox miatt a rendszer és egymás fájljaihoz nem férnek hozzá, így vírusokat sem tudnak keresni azok között.

Az is eléggé általános, hogy sokan szinte mindent a telefonunkon intézünk, üzeneteket váltunk, képeket küldünk, naptáreseményeket osztunk meg – és persze el vannak mentve a különféle jelszavaink, de még a banki ügyeket is adott appon belül intézzük. És itt jöjjön is akkor az első idézet az említett cikkből:

Ez már túl sok veszélyt rejt – éppen ezért érdemes védekezni a folyamatos megfigyelés, vagyis a kémprogramok ellen.

Hogy mindezek (tehát az, hogy rengeteg mindent intézünk a készülékünkön) sok veszélyt rejthetnek, általánosságban igaznak tekinthető, viszont nagyban függ a felhasználó óvatosságától, és a józan észtől.

Aki mindenütt és mindenre ugyanazt a jelszót használja, nincs jelkód a készülékén vagy az mondjuk csak 0000, bármilyen linkre azonnal rányom, annak a legkisebb problémája lesz az, hogy esetleg valaki majd pont a készüléke előlapi kamerájával akarná megfigyelni – de ne szaladjunk ennyire előre.

A folyamatos megfigyeléssel és kémprogramokkal szembeni védekezés említése ugyanakkor már kissé túlzás, főleg a kémprogramokra tett linken szereplő, másik cikkük miatt, amelyben a kémprogramok állítólagos 10 intő jelét sorolja fel egy másik szerző – miközben egyáltalán nem jelenthető ki, hogy a felsorolt jelek ténylegesen kémprogramok miatt jelentkeznének, sőt. Ellenben a laikusokat tökéletesen meg tudja ijeszteni egy ilyen lista, akik közül utána sokan képesek tényleg mindenben megfigyelést látni… De maradjunk most az eredeti cikknél.

Egy új módszer született, amit már évekkel ezelőtt a laptopokon, tableteken is elkezdtünk használni.

Ez egy viccesen megfogalmazott mondat, hiszen ha már évekkel ezelőtt elkezdte bárki is használni a laptopokon és tableteken, akkor az igazából nem egy új módszer. Itt a szerző valószínűleg azt tekinti újnak, hogy már mobilon is használja valaki.

Ha valaha töltöttél le alkalmazást linkről (és nem az App Store-ból vagy a Google Play-ből), különösen óvatosnak kell lenned!

A cikk itt kifelejti azokat az eseteket, amikor emberi hiba miatt az App Store szűrőjén csúszott át olyasmi, aminek nem kellett volna. Noha ezeknek az előfordulása meglehetősen ritka, mégsem nulla. A Google Play esetén ugyanez az előzetes ellenőrzés a legtöbb esetben automatizált, és sokkal megengedőbb, mint az Apple-nél.

Bár az EU-ban a digitális piacokról szóló rendelkezés (Digital Markets Act) értelmében az Apple kénytelen volt lehetővé tenni a külső alkalmazásboltokat, illetve hogy a fejlesztők weboldaláról is lehessen appokat letölteni, ez nem úgy működik, hogy bárki csak úgy letölthetővé tehet egy appot, ezekre szigorú szabályok vonatkoznak.

Mivel egy csaló számára a weboldalról való letöltés jelenthetné a legegyszerűbb megoldást, itt ki kell emelni, hogy ez kizárólag annak számára lehetséges, akinek már legalább 2 éven át jó státuszú volt a fejlesztői fiókja, egy alkalmazását az elmúlt 1 év során 1 milliónál több alkalommal töltötték már le, és kizárólag a saját alkalmazását adhatja így ki, másokét nem, illetve mindezek csak az iOS 17.5 és újabb rendszerek esetén érhetőek el. Ezek a kikötések a legtöbb esetben képesek megvédeni az átlagos felhasználókat.

Korábbi, kapcsolódó cikkeink ezzel kapcsolatban:

• Gyakori kérdések az iOS 17.4-nek az Európai Unióban érvényes változásai kapcsán
• Az Apple változásokat jelentett be az iOS, a Safari és az App Store esetén az Európai Unióban

Olyan tehát gyakorlatilag nincs, hogy egy random fejlesztő a semmiből felbukkanva a saját weboldalán közzétett, kártékony alkalmazást tudjon korlátlanul terjeszteni, amelynél mindössze egy letöltés gombra kellene kattintani az oldalon, hogy az app letöltődjön és települjön.

A csalók gyakran csalogatják az áldozatokat olyan applikációk letöltésére, amelyek közvetlen hozzáférést adnak számukra a telefonhoz, és annak galériájához, kamerájához és mikrofonjához.

Az iOS esetén minden egyes jogosultságra rá kell kérdezzen az adott app.

Vegyük például az Instagramot: ahhoz, hogy képeket és videókat tudjunk megosztani, értelemszerűen jogosultságot kell adnunk a fotókönyvtárunkhoz, akár csak adott képekhez és videókhoz, akár az összeshez, és ugyanez a helyzet, ha az appon belül szeretnénk fotózni vagy videót rögzíteni, kérni fogja a kamerához és a mikrofonhoz való hozzáférés engedélyezését.

Még ha ezeket a jogosultságokat meg is adjuk egy app számára, az akkor sem használhatja ezeket folyamatosan, a háttérben. Ráadásul attól, hogy egy app megjelenik az alkalmazásváltó (multitasking) nézetben, egyáltalán nem jelenti azt, hogy az ténylegesen fut is a háttérben, még akkor sem, ha egyébként be van kapcsolva az Alkalmazásfrissítés a háttérben opció.

Az egyes appok hozzáférési engedélyeit a Beállítások > Adatvédelem és biztonság alatt tudjuk ellenőrizni a különböző kategóriákra vonatkozóan, illetve ugyanígy megtaláljuk őket a Beállítások > Appok alatt az adott app esetén.

Egy kis darab ragasztószalag vagy pici matrica menthet meg attól, hogy beleegyezésed nélkül az alkalmazás képeket, videókat készítsen. Ha a frontkamerát fizikailag letakarod, amikor nem használod, a csalók nem tudnak kémkedni.

Komolyan ez lenne ebben az esetben a legnagyobb probléma? Ha a készülékünkhöz távoli hozzáférést szerzett valaki, vagy elérte, hogy a készülék maga küldje el neki az adatokat, akkor az adott támadó nem az előlapi kameránk által látott képet fogja nézegetni, hanem a készüléken tárolt adatainkra fog utazni, legyenek azok az üzeneteink, kontaktjaink, fotóink és videóink, elmentett jelszavaink és még lehetne sorolni. (Ha eszünkbe jutna az NSO és a Pegasus: érdemes kiemelni, hogy az egyszerűen nem opció a “kis hal” kategóriájú támadók számára, ha pedig bármely állam titkosszolgálata akarna megfigyelni bennünket, akkor őket sem elsősorban a kameránk által látottak érdekelnék, hanem minden egyéb adatunk.)

Ezek után a cikk ismét a kémkedésre utaló állítólagos jeleket veszi elő, de a korábban linkelt, másik cikkük tízes listája helyett már csak három jelet említ: hirtelen és gyorsan merülő akkumulátor, drasztikus megnőtt mobil adatforgalom, és hogy akkor is világít a kis zöld pötty a kijelző jobb felső sarkában, ha mi be sem kapcsoltuk a kamerát.

Van-e értelme letakarni a kamerát?

Ez egy meglehetősen megosztó kérdés, de ha logikusan végiggondoljuk, akkor érteni fogjuk, hogy miért nincs valódi értelme letakarni.

A laptopoknál korábban sok biztonsági szakértő egyetértett azzal, hogy pont azért célszerű letakarni a kamerát, mert egyes esetekben a kamera aktív állapotát jelző LED bekapcsolása nélkül is hozzá lehetett férni a kamera élő képéhez, így a laptop használója nem tudhatta, hogy a kamera ténylegesen figyeli-e vagy sem. Ezek olyan esetek voltak, amikor a LED-et a kameramodul firmware-je kapcsolta fel, az nem volt összekötve a kamera érzékelőjének aktiválásával, tehát a LED csak egy plusz funkció, nem pedig a kamera működésének elengedhetetlen része.

Az Apple 2008-nál újabb laptopjainál a kamera elektronikája viszont úgy lett kialakítva, hogy a kamera érzékelőjének aktiválása minden esetben bekapcsolja a LED-et, tehát nem lehetséges bekapcsolni a kamerát úgy, hogy mellette a LED ne világítson:

Az iPhone-ok és iPadek esetén ugyanakkor nincs fizikai LED az előlapi kamera esetén: ezeknél az iOS/iPadOS tesz ki egy kicsi pöttyöt a kijelző jobb felső sarkába, amelynek a színe attól függ, hogy éppen mi van használatban. A kamera esetén a pötty zöld, ha pedig csak a mikrofon rögzít, akkor narancssárga. Mivel azonban ez nem fizikai LED, így itt talán érthető a szkeptikusság.

Itt még érdemes azért megemlíteni, hogy önmagában egy visszajelző LED vagy pötty nem feltétlen nyújt biztonságot. Ha ugyanis csak egyetlen tizedmásodpercre villan fel a LED a Mac-en, vagy jelenik meg a pötty az iPhone és iPad esetén, és gyakorlatilag egy pillanatképet lő csak a kamera, az sokkal kevésbé lesz feltűnő, mint amikor másodperceken keresztül világít a LED vagy látszódik a kijelzőn a pötty.

Nyilván ne ringassuk magunkat hamis biztonságérzetben, de az esetek döntő többségében, és főleg ha betartjuk a józan ész szabályait, eléggé kevéssé valószínű, hogy áldozatul eshetünk ilyesminek.

Viszont ahogyan az fentebb már szóba került: ha valaki bármilyen módon olyan szintű távoli hozzáférést szerez a készülékünkhöz, amivel akár a kameránkat is be tudná kapcsolni, azt jellemzően nem a kameránk élőképe fogja érdekelni, hanem minden más, a készülékünkön található adatunk – tehát az már teljesen lényegtelen lesz, hogy egyébként le volt-e ragasztva a kameránk vagy sem.

Mi történik, ha mégis letakarjuk a kamerát?

Face ID-s készülék esetén talán nem is kell meglepődnünk azon, hogy ha letakarjuk az előlapi kameramodul egy részét, akkor az adott esetben könnyen belezavarhat a Face ID működésébe. A “divatos” nyitható/zárható kameratakarók mobilra szánt változatainak nem tizedmilliméterre pontos felhelyezése (mint a cikk borítóképén is, tehát kicsit elcsúszva, és nem egyenesen) a lézeres pontprojektor “ablakába” bele tud takarni – ezt könnyen kipróbálhatja bárki, ha egy kis papírral eltakar az előlapi kamera melletti részből. (És akkor még ott van az is, hogy az ide begyűlő por, homok vagy zsebpiszok a takaró gombjának ide-oda húzogatásával idővel képes lehet az üveg megkarcolására is.) De nem ez az egyetlen, lehetséges probléma.

A készüléktől és a takarástól függően ugyanis nem fog működni például az automatikus fényerő-szabályozás és a True Tone sem. Ezek nem magát a kamerát használják, hanem a mellette elhelyezett érzékelő(ke)t, amelyeket a takarás szintén lefedhet. Ha ragasztószalagot használunk a lefedésre, a kamera használata előtt arra is figyelnünk kell, hogy ne maradjon a kamerán ragasztó nyom, különben a másik fél értelemszerűen nem fog látni minket rendesen.

A Mac esetén pedig legyünk kifejezetten óvatosak a különböző kameratakarókkal: ha ugyanis az túl vastag, akkor az összecsukott gépnél nyomásra adott esetben képes megrepeszteni a kijelző előtti üveget, vagy rosszabb esetben magát a kijelzőt is.

Összefoglalva

Egy iPhone esetén a gyakorlatban nincs arra mód, hogy valaki pusztán egy ismeretlen weboldalról le tudjon tölteni egy rosszindulatú alkalmazást, ami egyben valami kémprogramot is tartalmaz, ami a tudta és engedélye nélkül hozzáfér a kamerához, és az ezzel rögzített képeket utána elküldje a támadónak.

Egy Mac esetén, mivel ott adminisztrátori (root) jogokkal is rendelkezhetünk, már nagyobb a veszély, de ha valaki nem kattintgat ész nélkül, és telepít bármit, akkor ott is elég alacsony az esélye annak hogy egy támadó távoli hozzáférést szerezzen a géphez.

Ha viszont nem tartjuk be a józan ész adta alapvető “digitális higiénia” szabályait, és valaki már olyan szinten hozzáfér a készülékünkhöz, hogy azon távolról be tudja kapcsolni a kamerát, akkor jó esély van arra, hogy az illetőt nem a kameránk által látott kép fogja érdekelni, hanem bármi más, a készülékünkön található adatunk. Ebben az esetben pedig már teljesen mindegy lesz, hogy közben egyébként le volt-e ragasztva az előlapi kameránk, vagy sem – és akkor ez a leragasztás igazából semmi más nem volt, mint hamis biztonságérzet.