iOS漏洞：授权位置信息可导致照片库泄露

北京时间2月29日消息，据国外媒体报道，日前，iOS设备又一个漏洞被曝光。该漏洞可使开发者通过获取用户地理位置信息而拷贝整个照片库数据。开发者宣称，该漏洞再一次使用户面临不必要的威胁。苹果尚未对此做出回应。

应用程序获取照片库信息

在被曝出应用程序会在用户不知情的情况下获取通讯簿信息后，苹果应用开发者们包括苹果自己受到了指责。然而，通讯簿并非唯一的开发者能轻松访问的用户隐私—iPhone照片库也一样。有开发者说，当用户允许iPhone，iPad或者iPod Touch上的应用程序获取位置信息时，其同时也会在没有任何提示的情况下将用户整个照片库拷贝下来。

目前尚不清楚苹果应用商店中的应用是否违法获取用户照片。虽然开发者规程并没有明确禁止拷贝照片，但是苹果宣称他们会对所有应用进行审查，防止那些具有不正当意图的应用进入商店。不过，获取通讯簿数据的确与苹果的规定相悖，苹果公司也已证实很多热门应用在搜集这些数据。

然而，苹果对此没有做出任何回应。

当应用程序第一次需要使用用户位置信息时，苹果设备会弹出提示窗口询问用户是否允许使用照片和视频中的位置信息。当设备存储照片和视频文件时，会将相关位置坐标信息一并存入——这种行为存在潜在威胁。

“不难想象，一个能够获取用户位置信息的应用会根据照片的位置信息得到用户的行踪，”iOS应用开发商Curio公司的联合创始人，大卫•陈(David E. Chen)说。“位置的历史信息与照片和视频一样会被上传到服务器。一旦这些数据离开iOS设备，苹果毫无能力去监控或者限制它们的使用。”

2010年，随着iOS4.0的发布，iOS应用首次获得完整的照片库访问权限，这样是为了提高照片类应用的效率。谷歌拒绝回应其安卓操作系统是如何解决这类问题。“这很奇怪，因为当苹果请求获取位置信息时，它实际上是在获取整个照片库的信息，”iPhone应用开发团队Tap Tap Tap的所有者约翰•卡萨桑德(John Casasanta)说。“用户将要为此提供的信息是非常不确定的。”

《纽约时报》曾请了一位不愿透露姓名的开发者开发了一款能够收集iPhone上照片和位置信息的应用PhotoSpy。当该应用运行的时候，它请求获取位置信息。一旦获得许可，就开始将照片和位置信息上传到远程服务器上(该应用并没有上传到应用商店中)。

严格把关，降低用户危险

虽然这种问题并非第一次出现，但是苹果应该确保这类应用不会在App Store上架。“苹果在App Store的监督方面担负着非常重大的责任。同时，对于那些监控iPhone上应用程序的应用，苹果公司也要严格把关，”电子隐私信息中心(Electronic Privacy Information Center)的员工大为•雅各布斯(David Jacobs)说。“苹果公司和开发者应该确保用户了解对这些应用程序访问权限的许可意味着什么。很显然，他们在这方面并没有做得很好。”

“过去我们已经遇到过很多名人照片泄露事件。我们有理由相信，如果应用程序能够轻松获得照片库的访问权限，类似事件还会发生更多，”雅各布斯还补充说。“现在有很多网站在努力获取政客和人们的照片然后发布到网上。”

随着苹果App Store的发展以及面临的来自谷歌和安卓的压力，有些人担心苹果公司在审查开发者方面会放松警惕，使用户面对在不必要的危险和山寨应用。

本月，苹果允许一个售价99美分的山寨口袋怪兽应用进入商城。即使该应用仅提供一系列口袋怪兽的图片，但在从App Store下架前它却成为了最受欢迎付费应用之一。