» 您尚未登录:请 登录 | 注册 | 标签 | 帮助 | 小黑屋 |


发新话题
打印

[数码手机] iOS隐私堪忧,App可绕过系统权限,访问你的相册

今日早些时候,看雪接到南方都市报隐私护卫队消息称,苹果相册隐私权限可被绕过。

一款名为《时间规划局》的APP可以在未经授权的情况下,可绕过iOS的系统授权机制,访问手机相册等信息。具体操作流程如下视频所示:

https://v.qq.com/txp/iframe/player.html?vid=r1359eivngz

本视频来自知乎

经测试,老版本部分系统无法复原此现象,而最新的12.1.x系列版本中都能复现这一操作。目前已经有多方技术团队分析此事件形成原因。


iOS 10.3.1 不可复现此漏洞

据悉,此漏洞目前比较大的可能是绕过了iOS系统的授权机制,并利用了代码中一些未公开的私有库来实现。还有一种可能是授权弹框做了欺骗行为。在app运行和关闭的时候保存了相关状态。代码是反的然后关闭的时候再恢复正常。实现的话这个是最简单的方法。

目前,苹果App Store审核未发现这个调用。应该很快就会被下架的吧.......


iPhone隐私堪忧

上个月海外多家科技媒体曝出,用户通过iPhone的FaceTime功能拨打电话后,无论对方是否接听,只要在群组功能中加入自己的号码,就可以听到对方手机麦克风传来的声音。这意味着,任何人都可以通过这样的方式来偷听对方谈话。

关于苹果隐私授权功能有问题的事件一个接一个,公众对苹果安全性是否还能给予足够的信任?


TOP

posted by wap, platform: Chrome
虚片还有5秒进入战场



TOP

虚片总能见招拆招


TOP

posted by wap, platform: iPhone
好有趣,下来试试

12.1.4可复现BUG,这个App好牛逼啊……

本帖最后由 藕是张力 于 2019-3-1 17:21 通过手机版编辑

TOP

posted by wap, platform: iPhone
虚拟机爱好者为了给正义的谷歌洗地,已经不要脸的把Bug和蓄意侵犯隐私混为一谈了。

你说这又是何必呢,明明就是自己被弓虽女干了,还要把体验包装成和别人性交一样快乐,233333

TOP

posted by wap, platform: iPhone
IOS的垃圾软件被系统逼的像条狗一样东躲西藏。

安卓的垃圾软件被系统纵容的比用户还大摇大摆。

真不知道收了多少钱写的这种垃圾文章。

TOP

posted by wap, platform: iPhone
看了一下知乎的解释,这个App是使用代理模式,调用的是系统的相册管理,就像是付款的时候跳到支付宝。

然后这个App的逻辑似乎有点问题,按照水果的文档,调用系统相册管理是不需要申请权限的,而这个App不但去申请权限,而且申请权限遭到拒绝以后,又去调用系统相册。

类似的逻辑是,购物网站付款的时候直接调用支付宝即可,而某个网站付款,跳出一个框,“你是否真的要付款”?点否的话,本应该结束付款,却调用了支付宝(感觉是一个很好的骗术),这种情况下如果你付款了,自然不是支付宝的错。

水果的文档https://developer.apple.com/docu ... on_to_access_photos

文档截图
附件: 您所在的用户组无法下载或查看附件

TOP

没事儿,你国看重隐私的人想必现在一定都在用安卓,这些漏洞跟他们有什么关系,企鹅锤地

TOP

posted by wap, platform: Chrome
唉,ios的人性化,就是漏了 也当做不知道的好。。。

TOP

什么傻吊...

除了相册权限外
苹果还有一个可以简单理解为"一次性"的访问权限,界面就是相册原始界面(而不是微信那种)
这个访问权限,是不需要作出任何权限申明即可
但是要注意的是,这个只有用户点击图片,并且确定才会将这次操作的图片给app访问
否则app是什么都获取不到的

这个权限甚至比给相册权限更加隐私
因为相册权限给了之后,app理论上就可以无限读取你的相册,实际上很多时候,一些非图形类app
我们需要的仅仅就是几张图片分享给app罢了

例如你用微信,你是希望微信只能用你分享的几张图片
还是希望微信开着的时候无限扫描你的相册?

那个facetime漏洞外媒说说也就算了
国内媒体一个个还反复咀嚼,真的挺难看的
就好像说facebook侵犯中国人隐私一样...
你丫根本用不了,挂你屁事

----------------------

所以吧
一个事情正着说反着说都可以
这个事情明明就可以在了解具体过程后
可以鼓励app多使用一次性权限,保护用户隐私
也可以反着说,绕过相册权限"获取"用户照片(实际上app并不能主动去获得,这个功能有且仅有用户指定分享,app才能获得)

---------------------

中文互联网真恶臭不堪
明明一个事情稍微找一个ios开发者就可以了解的清清楚楚
非要春秋笔法写的神乎其神
我真诚的建议这种垃圾帖子不要往TGFC倒

[ 本帖最后由 一只纯猪头 于 2019-3-3 00:52 编辑 ]
本帖最近评分记录
  • jackiehoo 激骚 +1 最骚 Rated by wap 2019-3-3 17:45

TOP

发新话题
     
官方公众号及微博