谷歌工程师展示流氓应用滥用权限拍摄观察苹果iOS用户

2017-10-27 06:47威锋网 (dukeliang)

iOS的一个隐藏特性是,如果用户想要访问照片、摄像头和位置等信息,他们需要获得许可。但一名谷歌工程师开发了一款演示应用,展示了一个流氓应用如何滥用权限,在用户使用该应用时偷偷地给你拍照——甚至是在你的前置摄像头或后置摄像头拍摄视频。

Felix Krause说,问题在于用户被要求给予全面许可。也许它会发送一个合理的理由让应用程序请求访问你的相机,在应用内拍摄照片,但获得权限之后它可以在任何情况下拍摄照片和视频,而不会以任何方式提醒你……

他所编写的演示应用程序展示了一个社交网络应用程序,它请求允许访问你的相机,允许使用其上传照片,然后在你只是滚动浏览信息流的时候,在没有任何通知的情况下应用开始拍摄照片和视频。

他还描述了面部识别是如何被用来识别用户的身份,甚至可以通过面部表情来分析、衡量你对广告中显示内容的情绪反应。在对流氓应用的演示中,他展示了其会如何使用相机来观察用户,就算用户有所察觉也可以做出一个混淆视听的模糊应用说明来欺骗用户。

他所描述的这种弱点是显而易见的:一旦应用获得了访问相机的许可,只要它在前台运行,iPhone的前后摄像头可以在该应用运行时开启。他认为苹果的应用审核过程应该检测出类似的流氓应用,以降低用户使用时风险。

也就是说,目前的应用审核过程并不完美。例如,我们已经看到,Uber在一次类似的滥用权限后,能够追踪用户的位置。根据这样的情况,Krause提出了几种方法来弥补这个漏洞。

第一种方式,让你在使用的时候才可以暂时访问相机(例如,在消息应用中与朋友分享一张照片),或者在状态栏中显示摄像头处于活动状态的图标,并在应用访问摄像头时强制显示状态栏。

另一个方式是,要求应用在拍照或摄像时发出快门声音。

此外,他还提出了第三个建议:当摄像头在使用时,在手机正面的LED灯就会亮起来。不过,由于苹果已经在iPhone X上取代了全尺寸iPhone的“额头”,而且毫无疑问,它的目标是及时将其完全移除,所以这个方案在以后可能就不适用了。

与他之前的博客文章类似,Krause的相机隐私项目并不是要披露一个新的iOS漏洞,而是更多地警告用户,这种侵犯隐私的行为在iOS中是可能的。

文章价值:
人打分
无价值还可以有价值
相关文章
查看更多
大家都在买广告更多
置顶评论
    热门评论
      全部评论
      竟然没有评论,快来说两句吧...
        取消发送
        软媒旗下人气应用