您的位置 首页 香港服务器

苹果App可绕过相册访问权限?360专家这样分析说

苹果App可绕过相册访问权限?360专家这样分析说

今日晚间,一个信息在小编的朋友圈里流传。知乎网友daVinci Factory发现,在iOS系统下,一个叫做《时间规划局》的App能够绕过系统授权直接访问手机相册。他把这个过程进行了记录,如下视频所示:

苹果App可绕过相册访问权限?360专家这样分析说

视频加载中…

苹果App可绕过相册访问权限?360专家这样分析说

经小编用iOS最新正式版系统(iOS 12.1.4)测试,发现该现象在小编的手机上也出现了!

苹果App可绕过相册访问权限?360专家这样分析说

苹果App可绕过相册访问权限?360专家这样分析说

苹果App可绕过相册访问权限?360专家这样分析说

通常来说,如果给程序读取相册的权限,它是无法读取照片的,就像下图一样:

这是怎么一回事?近期苹果出现了让人令人担忧的事件(苹果的FaceTime出现大bug,对方不接听也能偷听说话内容),今天这个事让我们的心又悬了起来。

一场虚惊?对此,小编请教了360 涅槃团队(Nirvan Team)的安全研究员,他们对这个App进行了认真的逆向分析,并告诉嘶吼小编无需担心隐私泄露的问题:

“根据逆向的结果,App里面引用了两套相册的访问机制,PHPhotoLibrary(检查权限)和UIImagePickerController(不检查权限,走系统的界面)。App中会先通过PHPhotoLibrary来判断用户是否授权访问相册。在没有授权的情况下,就调用UIImagePickerController来访问相册。”

涅槃团队的研究员告诉嘶吼小编,从用户的角度看,这个权限的解读会存在混淆的问题,但是这里不存在隐私泄露的问题。从专业的角度看(二进制漏洞的角度),程序没有突破任何安全边界。

据小编了解,在苹果提供的开发者文档中,对如何请求用户授权访问用户照片的功能进行了定义,它UIImagePickerController这个功能来调用用户的照片库时,应用无需明确请求权限(这只是一个读取权限,如果要写入照片库,也就是修改照片,仍然需要向用户申请权限)。

他们还对这个权限进行了解读:这个照片是用户自己选择的,不是程序静默读的。简单说,就是你不点照片,这个App读不了你的照片,等于是你自己选择了这张照片给这个App使用。他们同时也表示,至于 UI 上的概念混淆,属于另外一个范畴了,仁者见仁智者见智。

此外,他们在分析该App暂时没有发现上传行为,连网络请求都没看到。也就是说,任何数据都不会被上传到服务器,更不用说上传用户隐私数据了。

隐私问题越来越受重视这件事可以说是告一段落了,可谓虚惊一场。但小编还是有些开心,因为大家对隐私的重视程度越来越强了,知乎的提问者在资料中写明了自己的职业——他不是IT从业者。

近期频发的APP违法收集个人隐私话题,牵动着每个人的神经。令人欣慰的是,我国APP隐私保护的步伐正在加速迈进。今年1月,中央网信办、工业和信息化部、公安部、市场监管总局发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,并在最近开展了“APP违法违规收集使用个人信息专项治理”行动。

小编从360得到了上文App问题的答案,还了解到他们将推出App隐私合规性检测服务,该功能为360显微镜平台的新增功能。

这个功能主要针对安卓App,无论是拨打电话、读取短信、还是读取通讯录,所有的安卓权限都在检测范围里。我们只需要上传文件,就能自动生成“APP个人隐私安全风险扫描报告”,发现应用中的具体风险。

虽然有了隐私检测工具,但面对复杂的APP隐私安全问题,不能仅凭一方的力量,政府、企业、用户等多方共同努力。相信有了大家的共同推动, 我们不会在互联网上裸奔了!

关于作者: 维拓主机

热门文章