2012年3月1日 星期四

蘋果iOS系統再現漏洞:應用程序可複制照片庫

據美國《紐約時報》網絡版報導,就在蘋果因為洩露用戶通訊錄而備受批評之際,又有消息稱,應用開發者甚至可以在未經允許\的情況下複制iPhone、iPad和iPod Touch的整個照片庫。
據一名應用開發者透露,當用戶允許\一款應用通過上述三款移動設備獲取定位信息後,該應用便可直接複制用戶的整個照片庫,而無需發布進一步的通知或警告。
 
目前還不清楚App Store中是否有任何應用非法複制了用戶照片。盡管蘋果的規定並未明確禁止複制照片,但該公司卻會對所有應用進行審查,避免開發者的不當行為。然而,複制通訊錄數據的行為已經明確違反了蘋果規定,但該公司依舊批准了很多搜集這類信息的應用。
蘋果尚未對此置評。
當某款應用首次希望使用定位數據時,蘋果設備都會通過彈出窗口尋求用戶許\可。而當用戶使用這些設備拍攝照片或視頻時,則會附帶相應的拍攝地定位信息,這就會產生更多潛在風險。
“可以想象,如果一款應用能夠獲取定位數據,便可以根據照片中的定位信息確定用戶以往的行動軌跡。”iOS應用開發商Curio聯合創始人大衛‧陳(David E. Chen)說,“定位歷史將會與照片和視頻一同被上傳到服務器。一旦這些數據脫離了iOS設備,蘋果基本就沒有能力監控或限制它的使用方式了。”
蘋果於2010年推出iOS 4.0時首次允許\全面訪問照片庫。這一改變是為了提升照片應用的效率。谷歌拒絕對Android操作系統的相關問題發表評論。
“這很奇怪,因為蘋果只是要求獲得定位許\可,但卻允許\訪問整個照片庫。用戶獲取的信息非常不明確。”約翰‧卡薩桑塔(John Casasanta)說。他是著名iPhone應用開發商Tap Tap Tap的創始人,該公司曾經開發過一款名為《Camera+》的照片應用。
《紐約時報》要求一名開發者創建了一款獲取手機照片和定位信息的iPhone測試應用。當這款名為PhotoSpy的測試應用啟動時,便要求獲得定位數據。一旦授權這一行為,該應用便開始將照片及其對應的定位數據上傳到服務器。但該應用並未提交給App Store。
開發者稱,他們早就知道這一功\能的存在。但他們原本認為,蘋果可以阻止惡意應用進駐App Store。然而從最近的報導來看,恐怕未必。
“作為App Store的看門人,蘋果富有巨大的責任,應當對人們安裝在手機中的應用進行監控。”美國隱私保護團體電子隱私信息中心(Electronic Privacy Information Center)會員大衛‧雅各布(David Jacobs)說,“蘋果和應用開發商應當確保人們知道他們究竟同意了哪些行為。從這個角度來看,他們顯然做得不夠好。”
他補充道:“我們以前已經經歷過一些明星和名人照片洩露事件。完全有理由擔心,如果照片更容易被竊取,還將出現更多類似事件。有很多網站每天都在搜集普通人和政治人物的照片,並把它們發布到網上。”
由於App Store的應用已經超過60萬款,加之蘋果正在面臨谷歌Android的巨大競爭壓力,有人擔心該公司對應用開發者的監管將會放松,從而將用戶置於不必要的風險之中。
蘋果本月批准了一款假冒的《口袋妖怪》(Pokemon)應用進駐App Store,售價為0.99美元。雖然只是提供了一系列口袋妖怪圖片,但卻迅速成為App Store最暢銷的應用之一,直到被蘋果移除。

沒有留言: