E安全9月29日讯 Fastlane.Tools公司创始人兼开发者Felix Krause(菲力克斯·克劳斯)最近发现,iOS应用能够读取元数据,并据此知悉用户位置等一系列威胁个人隐私的重要信息。 图像访问权限暴露用户数据 克劳斯在Open Radar社区上发布了详细的帖子http:///R0WKIeA,他表示该应用只需获得“图像”访问权限,即可产生相关风险。 克劳斯写道:
除了地理位置,一张图片还暴露哪些数据?克劳斯亦在GitHub上发布了一段概念验证代码 http:///R0CpSgv,并表示其编写难度几乎可以忽略不计。 “您的iOS应用是否能够访问用户图片库?您想知道用户在过去几年的活动轨迹——包括他们去过哪些城市、曾经使用过的iPhone以及出行方式——吗?您希望在不到一秒时间里马上获得答案吗?这个项目让您美梦成真!” 通过访问图片库信息,应用程序将能够获取完整的EXIF数据集——且其中囊括的远不止用户位置这么简单。 克劳斯已经证明可通过此种途径获取下列数据:
攻击者完全可以利用此类数据开展监控或者欺诈活动。 克劳斯建议苹果公司对其图片库权限管理方式进行审查,例如提示用户以明确方式批准应用访问图片元数据的权限。另一种可行方式,则是将选择照片与在图片库内访问图片的权限彼此区分开来。 怎样访问图像数据?克劳斯解释称,通过以下方式即可轻松访问图像元数据:
感兴趣的朋友可以 http:///R0WoFF2 通过苹果App Store获取DetectLocations概念验证应用。 祝各位玩得开心!
|
|