iOS應用可讀取元數據造成用戶隱私泄露

E安全9月29日訊 Fastlane.Tools公司創始人兼開發者Felix Krause（菲力克斯·克勞斯）最近發現，iOS應用能夠讀取元數據，並據此知悉用戶位置等一系列威脅個人隱私的重要信息。

圖像訪問許可權暴露用戶數據

克勞斯在Open Radar社區上發布了詳細的帖子http://t.cn/R0WKIeA，他表示該應用只需獲得「圖像」訪問許可權，即可產生相關風險。

克勞斯寫道：

「如果應用獲得圖像庫的訪問許可權，其即可對所有圖像的元數據進行全面訪問，包括其拍攝位置。這是個相當嚴重的問題，因為第三方拍攝應用同樣能夠全面訪問所有照片及其在圖像庫中保存的位置信息。」

除了地理位置，一張圖片還暴露哪些數據？

克勞斯亦在GitHub上發布了一段概念驗證代碼 http://t.cn/R0CpSgv，並表示其編寫難度幾乎可以忽略不計。

「您的iOS應用是否能夠訪問用戶圖片庫？您想知道用戶在過去幾年的活動軌跡——包括他們去過哪些城市、曾經使用過的iPhone以及出行方式——嗎？您希望在不到一秒時間裡馬上獲得答案嗎？這個項目讓您美夢成真！」

通過訪問圖片庫信息，應用程序將能夠獲取完整的EXIF數據集——且其中囊括的遠不止用戶位置這麼簡單。

克勞斯已經證明可通過此種途徑獲取下列數據：

• 各圖片之確切位置;

• 拍攝圖像/視頻的物理速度（相機移動速度）;

• 相機型號;

• 確切時期與時間;

• 其它EXIF圖像元數據。

攻擊者完全可以利用此類數據開展監控或者欺詐活動。

克勞斯建議蘋果公司對其圖片庫許可權管理方式進行審查，例如提示用戶以明確方式批准應用訪問圖片元數據的許可權。另一種可行方式，則是將選擇照片與在圖片庫內訪問圖片的許可權彼此區分開來。

克勞斯解釋稱，通過以下方式即可輕鬆訪問圖像元數據：

1.要求用戶批准應用訪問照片庫；

2. 若獲得批准，則利用以下命令獲取全部以往位置信息；

```objective-c

PHFetchResult *photos = [PHAsset fetchAssetsWithMediaType:PHAssetMediaTypeImage options:nil];

for (PHAsset *asset in photos) {

if ([asset location]) {

// Access the full location, speed, full picture, camera model, etc. here

}

}

```

3. 使用該數據追蹤用戶行動軌跡。

感興趣的朋友可以 http://t.cn/R0WoFF2 通過蘋果App Store獲取DetectLocations概念驗證應用。

祝各位玩得開心！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！