元器件交易网-中发网全新升级平台
关注我们:
首页 > 供应链 > IC供应链 > 正文

iOS app存取相片权限不够严谨,用户隐私恐不保

研究人员发现苹果iOS的App权限设计,没有明确区分选择相片及编辑相片的App,导致有心人士透过恶意App,以选择相片之名取得用户同意后,就能存取手机内的照片,透过分析EXIF metadata,可进一步掌握用户的工作地点 、使用装置、通勤路径、社交或婚姻状态。

iOS 开放app存取信息的权限机制爆出隐私外泄疑虑,可以让恶意app得以存取整个相片图库及照片metadata,使用户的行踪、工作地点等被完全掌握。

Google收购的Fastlane Tools创办人Felix Krause首先发现了这个iOS app权限(permission)设计问题。 他解释,iOS的app权限设计,并未区分选择相片以及编辑相片/图片的app,两者是绑在一起的。 因此只要用户同意一次后,不同app就同时取得访问权限。

因此只要某个恶意app以选择相片之名,骗取用户同意存取照片图库后,暗中就可存取手机内所有相片,抓取相片的EXIF metadata。 而EXIF metadata包含了相当丰富的信息,像是拍摄地点的GPS坐标、速度,拍摄时间、日期及相机机型等。

这么一来,攻击者可以把用户的身家背景完全看透,像是他旅行的地方、工作地点、使用的装置、通勤路径、甚至经由他出入地点判断他的社交或婚姻状态等。 研究人员已将该问题通报苹果。

Krause写了一个概念验证的iOS app DetectLocations,号称可搜集用户相片metadata,并可将相片记录在地图上,没想到竟然还通过App Store的审核而上架。

    

买正品元器件就上天交商城!

扫描左侧的二维码

科技圈最新动态一手掌握
每日砸蛋,中奖率100%