原标题:iOS app存取相片权限不够严谨,用户隐私恐不保
示意图,与新闻事件无关。
图片来源:Apple
iOS△开放app存取资讯的权限机制爆出隐私外泄疑虑,可以让恶意app得以存取整个相片图库及照片metadata,使用户的行踪、工作地点等被完全掌握。?Google收购的Fastlane△Tools创办人Felix△Krause首先发现了这个iOS△app权限(permission)设计问题。他解释,iOS的app权限设计,并未区分选择相片以及编辑相片/图片的app,两者是绑在一起的。因此只要使用者同意一次后,不同app就同时取得存取权限。?因此只要某个恶意app以选择相片之名,骗取使用者同意存取照片图库后,暗中就可存取手机内所有相片,抓取相片的EXIF△metadata。而EXIF△metadata包含了相当丰富的资讯,像是拍摄地点的GPS座标、速度,拍摄时间、日期及相机机型等。?这么一来,攻击者可以把使用者的身家背景完全看透,像是他旅行的地方、工作地点、使用的装置、通勤路径、甚至经由他出入地点判断他的社交或婚姻状态等。研究人员已将该问题通报苹果。?Krause写了一个概念验证的iOS△app△DetectLocations,号称可搜集使用者相片metadata,并可将相片记录在地图上,没想到竟然还通过App△Store的审核而上架。
?
相关:
研究人员发现可欺骗IE上的location物件,取得使用者的搜寻网址列上输入的URL或搜寻关键字。 图片来源: 截自Manuel△Caballero示范视频 研究人员揭露微软的Internet△Explorer△(IE)浏览器出现漏洞,让使用者在网址
示意图,与新闻事件无关。 内容递送网络及网络安全服务供应商Cloudflare周一(9/25)发表了Unmetered△Mitigation服务,将免费协助所有用户抵抗分散式阻断服务(DDoS)攻击,不论是免费或付费用户皆适用。过去当用
键盘程式GO Keyboard被指擅自搜集装置资料,恐侵犯用户隐私
GO△Keyboard△- Emoji△keyboard, Swipe△input, GIFs。 图片来源: Google△Play 专门开发广告封锁工具的Adguard在上周四(9/21)警告,Android平台上受欢迎的虚拟键盘程式GO△Keyboard不但擅自搜集使用者资讯,还
今早防灾预警讯息你收到了吗? 中华电信出包导致部份4G用户没收到
今天为国家防灾日,早上9点多国内电信业者配合政府演练发出灾防预警讯息,许多民众可能在手机上收到一则地震防灾讯息,但中华电信部份的4G用户因不明原因而没有收到,显示预警讯息从发布到送到民众手机的过程仍有缺漏
示意图,与新闻事件无关。 图片来源: The△Pirate△Bay 全球最大BT网站海盗湾(The△Pirate△Bay)免费提供存取盗版内容服务,但有用户发现,它其实也试图收费,但方式是借用用户电脑CPU来挖矿。?上周用户发现当他