iOS app存取相片權限不夠嚴謹,用戶隱私恐不保
http://www.ithome.com.tw/news/117129
研究人員發現蘋果iOS的App權限設計,沒有明確區分選擇相片及編輯相片的App,導致有
心人士透過惡意App,以選擇相片之名取得用戶同意後,就能存取手機內的照片,透過分
析EXIF metadata,可進一步掌握用戶的工作地點、使用裝置、通勤路徑、社交或婚姻狀
態。
文/林妍溱 | 2017-09-29發表
iOS 開放app存取資訊的權限機制爆出隱私外洩疑慮,可以讓惡意app得以存取整個相片圖
庫及照片metadata,使用戶的行蹤、工作地點等被完全掌握。
Google收購的Fastlane Tools創辦人Felix Krause首先發現了這個iOS app權限(
permission)設計問題。他解釋,iOS的app權限設計,並未區分選擇相片以及編輯相片/
圖片的app,兩者是綁在一起的。因此只要使用者同意一次後,不同app就同時取得存取權
限。
因此只要某個惡意app以選擇相片之名,騙取使用者同意存取照片圖庫後,暗中就可存取
手機內所有相片,抓取相片的EXIF metadata。而EXIF metadata包含了相當豐富的資訊,
像是拍攝地點的GPS座標、速度,拍攝時間、日期及相機機型等。
這麼一來,攻擊者可以把使用者的身家背景完全看透,像是他旅行的地方、工作地點、使
用的裝置、通勤路徑、甚至經由他出入地點判斷他的社交或婚姻狀態等。研究人員已將該
問題通報蘋果。
Krause寫了一個概念驗證的iOS app DetectLocations,號稱可蒐集使用者相片metadata
,並可將相片記錄在地圖上,沒想到竟然還通過App Store的審核而上架。
=======
謝謝估狗這麼用心的為我們價值4500萬的iOS系統抓漏,不過也請果粉要注意,
尤其是內含春光照的名人級果粉>///<