iOS app存取相片權限不夠嚴謹，用戶隱私恐不保

iOS 開放app存取資訊的權限機制爆出隱私外洩疑慮，可以讓惡意app得以存取整個相片圖庫及照片metadata，使用戶的行蹤、工作地點等被完全掌握。
 
Google收購的Fastlane Tools創辦人Felix Krause首先發現了這個iOS app權限（permission）設計問題。他解釋，iOS的app權限設計，並未區分選擇相片以及編輯相片/圖片的app，兩者是綁在一起的。因此只要使用者同意一次後，不同app就同時取得存取權限。
 
因此只要某個惡意app以選擇相片之名，騙取使用者同意存取照片圖庫後，暗中就可存取手機內所有相片，抓取相片的EXIF metadata。而EXIF metadata包含了相當豐富的資訊，像是拍攝地點的GPS座標、速度，拍攝時間、日期及相機機型等。
 
這麼一來，攻擊者可以把使用者的身家背景完全看透，像是他旅行的地方、工作地點、使用的裝置、通勤路徑、甚至經由他出入地點判斷他的社交或婚姻狀態等。研究人員已將該問題通報蘋果。
 
Krause寫了一個概念驗證的iOS app DetectLocations，號稱可蒐集使用者相片metadata，並可將相片記錄在地圖上，沒想到竟然還通過App Store的審核而上架。