示意圖,與新聞事件無關。

圖片來源: 

Apple

iOS 開放app存取資訊的權限機制爆出隱私外洩疑慮,可以讓惡意app得以存取整個相片圖庫及照片metadata,使用戶的行蹤、工作地點等被完全掌握。
 
Google收購的Fastlane Tools創辦人Felix Krause首先發現了這個iOS app權限(permission)設計問題。他解釋,iOS的app權限設計,並未區分選擇相片以及編輯相片/圖片的app,兩者是綁在一起的。因此只要使用者同意一次後,不同app就同時取得存取權限。
 
因此只要某個惡意app以選擇相片之名,騙取使用者同意存取照片圖庫後,暗中就可存取手機內所有相片,抓取相片的EXIF metadata。而EXIF metadata包含了相當豐富的資訊,像是拍攝地點的GPS座標、速度,拍攝時間、日期及相機機型等。
 
這麼一來,攻擊者可以把使用者的身家背景完全看透,像是他旅行的地方、工作地點、使用的裝置、通勤路徑、甚至經由他出入地點判斷他的社交或婚姻狀態等。研究人員已將該問題通報蘋果。
 
Krause寫了一個概念驗證的iOS app DetectLocations,號稱可蒐集使用者相片metadata,並可將相片記錄在地圖上,沒想到竟然還通過App Store的審核而上架。

 


Advertisement

更多 iThome相關內容