蘋果iOS系統(tǒng)再現(xiàn)漏洞：應(yīng)用程序可復(fù)制照片庫

北京時間2月29日上午消息，據(jù)美國《紐約時報》網(wǎng)絡(luò)版報道，就在蘋果因為泄露用戶通訊錄而備受批評之際，又有消息稱，應(yīng)用開發(fā)者甚至可以在未經(jīng)允許的情況下復(fù)制iPhone、iPad和iPod Touch的整個照片庫。

據(jù)一名應(yīng)用開發(fā)者透露，當用戶允許一款應(yīng)用通過上述三款移動設(shè)備獲取定位信息后，該應(yīng)用便可直接復(fù)制用戶的整個照片庫，而無需發(fā)布進一步的通知或警告。

目前還不清楚App Store中是否有任何應(yīng)用非法復(fù)制了用戶照片。盡管蘋果的規(guī)定并未明確禁止復(fù)制照片，但該公司卻會對所有應(yīng)用進行審查，避免開發(fā)者的不當行為。然而，復(fù)制通訊錄數(shù)據(jù)的行為已經(jīng)明確違反了蘋果規(guī)定，但該公司依舊批準了很多搜集這類信息的應(yīng)用。

蘋果尚未對此置評。

當某款應(yīng)用首次希望使用定位數(shù)據(jù)時，蘋果設(shè)備都會通過彈出窗口尋求用戶許可。而當用戶使用這些設(shè)備拍攝照片或視頻時，則會附帶相應(yīng)的拍攝地定位信息，這就會產(chǎn)生更多潛在風險。

“可以想象，如果一款應(yīng)用能夠獲取定位數(shù)據(jù)，便可以根據(jù)照片中的定位信息確定用戶以往的行動軌跡。”iOS應(yīng)用開發(fā)商Curio聯(lián)合創(chuàng)始人大衛(wèi)·陳(David E. Chen)說，“定位歷史將會與照片和視頻一同被上傳到服務(wù)器。一旦這些數(shù)據(jù)脫離了iOS設(shè)備，蘋果基本就沒有能力監(jiān)控或限制它的使用方式了。”

蘋果于2010年推出iOS 4.0時首次允許全面訪問照片庫。這一改變是為了提升照片應(yīng)用的效率。谷歌拒絕對Android操作系統(tǒng)的相關(guān)問題發(fā)表評論。

“這很奇怪，因為蘋果只是要求獲得定位許可，但卻允許訪問整個照片庫。用戶獲取的信息非常不明確。”約翰·卡薩桑塔(John Casasanta)說。他是著名iPhone應(yīng)用開發(fā)商Tap Tap Tap的創(chuàng)始人，該公司曾經(jīng)開發(fā)過一款名為《Camera+》的照片應(yīng)用。

《紐約時報》要求一名開發(fā)者創(chuàng)建了一款獲取手機照片和定位信息的iPhone測試應(yīng)用。當這款名為PhotoSpy的測試應(yīng)用啟動時，便要求獲得定位數(shù)據(jù)。一旦授權(quán)這一行為，該應(yīng)用便開始將照片及其對應(yīng)的定位數(shù)據(jù)上傳到服務(wù)器。但該應(yīng)用并未提交給App Store。

開發(fā)者稱，他們早就知道這一功能的存在。但他們原本認為，蘋果可以阻止惡意應(yīng)用進駐App Store。然而從最近的報道來看，恐怕未必。

“作為App Store的看門人，蘋果富有巨大的責任，應(yīng)當對人們安裝在手機中的應(yīng)用進行監(jiān)控。”美國隱私保護團體電子隱私信息中心(Electronic Privacy Information Center)會員大衛(wèi)·雅各布(David Jacobs)說，“蘋果和應(yīng)用開發(fā)商應(yīng)當確保人們知道他們究竟同意了哪些行為。從這個角度來看，他們顯然做得不夠好。”

他補充道：“我們以前已經(jīng)經(jīng)歷過一些明星和名人照片泄露事件。完全有理由擔心，如果照片更容易被竊取，還將出現(xiàn)更多類似事件。有很多網(wǎng)站每天都在搜集普通人和政治人物的照片，并把它們發(fā)布到網(wǎng)上。”

由于App Store的應(yīng)用已經(jīng)超過60萬款，加之蘋果正在面臨谷歌Android的巨大競爭壓力，有人擔心該公司對應(yīng)用開發(fā)者的監(jiān)管將會放松，從而將用戶置于不必要的風險之中。

蘋果本月批準了一款假冒的《口袋妖怪》(Pokemon)應(yīng)用進駐App Store，售價為0.99美元。雖然只是提供了一系列口袋妖怪圖片，但卻迅速成為App Store最暢銷的應(yīng)用之一，直到被蘋果移除。