iOS app存取相片權限不夠嚴謹，用戶隱私恐不保

http://www.ithome.com.tw/news/117129

研究人員發現蘋果iOS的App權限設計，沒有明確區分選擇相片及編輯相片的App，導致有
心人士透過惡意App，以選擇相片之名取得用戶同意後，就能存取手機內的照片，透過分
析EXIF metadata，可進一步掌握用戶的工作地點、使用裝置、通勤路徑、社交或婚姻狀
態。

文/林妍溱 | 2017-09-29發表

iOS 開放app存取資訊的權限機制爆出隱私外洩疑慮，可以讓惡意app得以存取整個相片圖
庫及照片metadata，使用戶的行蹤、工作地點等被完全掌握。

Google收購的Fastlane Tools創辦人Felix Krause首先發現了這個iOS app權限（
permission）設計問題。他解釋，iOS的app權限設計，並未區分選擇相片以及編輯相片/
圖片的app，兩者是綁在一起的。因此只要使用者同意一次後，不同app就同時取得存取權
限。

因此只要某個惡意app以選擇相片之名，騙取使用者同意存取照片圖庫後，暗中就可存取
手機內所有相片，抓取相片的EXIF metadata。而EXIF metadata包含了相當豐富的資訊，
像是拍攝地點的GPS座標、速度，拍攝時間、日期及相機機型等。

這麼一來，攻擊者可以把使用者的身家背景完全看透，像是他旅行的地方、工作地點、使
用的裝置、通勤路徑、甚至經由他出入地點判斷他的社交或婚姻狀態等。研究人員已將該
問題通報蘋果。

Krause寫了一個概念驗證的iOS app DetectLocations，號稱可蒐集使用者相片metadata
，並可將相片記錄在地圖上，沒想到竟然還通過App Store的審核而上架。

=======

謝謝估狗這麼用心的為我們價值4500萬的iOS系統抓漏，不過也請果粉要注意，

尤其是內含春光照的名人級果粉>///<

--

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.107.225
※ 文章網址: https://www.ptt.cc/bbs/iPhone/M.1506775223.A.AA5.html