iOS app存取相片权限不够严谨,用户隐私恐不保
http://www.ithome.com.tw/news/117129
研究人员发现苹果iOS的App权限设计,没有明确区分选择相片及编辑相片的App,导致有
心人士透过恶意App,以选择相片之名取得用户同意后,就能存取手机内的照片,透过分
析EXIF metadata,可进一步掌握用户的工作地点、使用装置、通勤路径、社交或婚姻状
态。
文/林妍溱 | 2017-09-29发表
iOS 开放app存取资讯的权限机制爆出隐私外泄疑虑,可以让恶意app得以存取整个相片图
库及照片metadata,使用户的行踪、工作地点等被完全掌握。
Google收购的Fastlane Tools创办人Felix Krause首先发现了这个iOS app权限(
permission)设计问题。他解释,iOS的app权限设计,并未区分选择相片以及编辑相片/
图片的app,两者是绑在一起的。因此只要使用者同意一次后,不同app就同时取得存取权
限。
因此只要某个恶意app以选择相片之名,骗取使用者同意存取照片图库后,暗中就可存取
手机内所有相片,抓取相片的EXIF metadata。而EXIF metadata包含了相当丰富的资讯,
像是拍摄地点的GPS座标、速度,拍摄时间、日期及相机机型等。
这么一来,攻击者可以把使用者的身家背景完全看透,像是他旅行的地方、工作地点、使
用的装置、通勤路径、甚至经由他出入地点判断他的社交或婚姻状态等。研究人员已将该
问题通报苹果。
Krause写了一个概念验证的iOS app DetectLocations,号称可蒐集使用者相片metadata
,并可将相片记录在地图上,没想到竟然还通过App Store的审核而上架。
=======
谢谢估狗这么用心的为我们价值4500万的iOS系统抓漏,不过也请果粉要注意,
尤其是内含春光照的名人级果粉>///<