摘要: Fastlane.Tools公司创始人兼开发者Felix Krause(菲力克斯·克劳斯)最近发现,iOS应用能够读取元数据,并据此知悉用户位置等一系列威胁个人隐私的重要信息。 图像访问权限暴露用户数据 克劳斯在Open Radar社区上发布了详细的分析报告,...
Fastlane.Tools公司创始人兼开发者Felix Krause(菲力克斯·克劳斯)最近发现,iOS应用能够读取元数据,并据此知悉用户位置等一系列威胁个人隐私的重要信息。
图像访问权限暴露用户数据
克劳斯在Open Radar社区上发布了详细的分析报告,他表示该应用只需获得“图像”访问权限,即可产生相关风险。
克劳斯写道:
“如果应用获得图像库的访问权限,其即可对所有图像的元数据进行全面访问,包括其拍摄位置。这是个相当严重的问题,因为第三方拍摄应用同样能够全面访问所有照片及其在图像库中保存的位置信息。”
除了地理位置,一张图片还暴露哪些数据?
克劳斯亦在GitHub上发布了一段概念验证代码,并表示其编写难度几乎可以忽略不计。
“您的iOS应用是否能够访问用户图片库?您想知道用户在过去几年的活动轨迹——包括他们去过哪些城市、曾经使用过的iPhone以及出行方式——吗?您希望在不到一秒时间里马上获得答案吗?这个项目让您美梦成真!”
通过访问图片库信息,应用程序将能够获取完整的EXIF数据集——且其中囊括的远不止用户位置这么简单。
克劳斯已经证明可通过此种途径获取下列数据:
- 各图片之确切位置;
- 拍摄图像/视频的物理速度(相机移动速度);
- 相机型号;
- 确切时期与时间;
- 其它EXIF图像元数据。
攻击者完全可以利用此类数据开展监控或者欺诈活动。
克劳斯建议苹果公司对其图片库权限管理方式进行审查,例如提示用户以明确方式批准应用访问图片元数据的权限。另一种可行方式,则是将选择照片与在图片库内访问图片的权限彼此区分开来。
怎样访问图像数据?
克劳斯解释称,通过以下方式即可轻松访问图像元数据:
1.要求用户批准应用访问照片库;
2. 若获得批准,则利用以下命令获取全部以往位置信息;
```objective-c
PHFetchResult *photos = [PHAsset fetchAssetsWithMediaType:PHAssetMediaTypeImage options:nil];
for (PHAsset *asset in photos) {
if ([asset location]) {
// Access the full location, speed, full picture, camera model, etc. here
}
}
```
3. 使用该数据追踪用户行动轨迹。
感兴趣的朋友可以点击此处通过苹果App Store获取DetectLocations概念验证应用。
*来源:E安全 https://www.easyaq.com/news/990572876.shtml
北京鼎源科技有限公司(www.devsource.com.cn)是国内领先的移动信息安全公司,专注于移动应用安全领域,为各级党政监管单位、企业和开发者提供移动应用安全咨询、APP安全检测、APP安全加固、APP威胁感知、安全服务和“端-管-云”一体化网络安全整体解决方案。
