Лазейка в iOS дает приложениям доступ к фотографиям в i-девайсе

На фоне громких баталий между социальными сетями, между владельцами развивающихся технологий, и в ходе дебатов о мобильной конфиденциальности была тихонько обнаружена лазейка, благодаря которой iOS-приложения, имеющие доступ к данным о местонахождении пользователя, могли выгружать всю фотоколлекцию из устройства.

Вчера в The New York Times появилась статья о том, что приложение, получившее от пользователя разрешение на запуск сервисов определения локации, в виде скрытой фоновой задачи получает доступ к геофотографиям из iPhone, iPad или iPod touch.

Оказывается, разработчики с недавних пор знали о существовании лазейки, но пока не имели доказательств об объемах ее функциональности. Издание The Times обратилось к разработчику, который пожелал остаться неназванным из-за его связи с крупной компанией, с просьбой написать тестовую программу, которая бы воспользовалась существующей уязвимостью.

В итоге разработчик создал так называемый «PhotoSpy» — код, который, будучи установленным и запущенным на iPhone, вначале запрашивает доступ к данным о местонахождении пользователя. После этого приложение начинает процесс загрузки фотографий и соответствующих им локационных данных на удаленный сервер.

«Не исключено, что приложения, имеющие доступ к локационным данным пользователя, могут составить историю о том, как пользователь перемещался, на основании этих данных»

комментирует сооснователь компании Curio Дэвид Чен (David E. Chen).

«Рассказ о местонахождении вместе с фотографиями и видео пользователя будут выгружены на сервер. Как только данные уходят из iOS-устройства, Apple практически не имеет возможности контролировать или ограничивать возможности их использования».

В качестве защиты Apple может предложить запуск приложений в режиме «песочницы», или ограничение доступа к данным и определенным функциям iOS системного уровня. Когда компания изменила свою мобильную платформу с «iPhone OS» на «iOS» в 2010 году, в «песочницу», кроме прочих системных сервисов, попала и фотоколлекция пользователя.

Теоретически Apple по-прежнему контролирует возможности попадания вредоносного программного обеспечения в App Store – компания проверяет и утверждает весь цифровой ассортимент, попадающий в ее магазин приложений. Тем не менее, в последнее время со стороны Apple случаются и оплошности, что неудивительно, так как количество приложений в App Store выросло до невероятных размеров.

В качестве примера такой оплошности можно привести фальшивое приложение «Pokemon», которое не просто попало в App Store – оно попало в пятерку самых популярных приложений, прежде чем его убрали из магазина.

Чтобы упростить работу пользователей и сделать продукт более целостным, разработчики искали способы консолидации данных в фоновом режиме, в результате некоторые их усилия сочли вторжением в частную жизнь пользователей. В этом месяце под гневную критику попала социальная сеть «Path» за то, что в фоновом режиме выгружала данные о контактах пользователя, чтобы облегчить ему процесс соединения с друзьями в сети. В итоге компании-разработчику пришлось внести исправления в приложение и извиниться перед пользователями.

«На Apple лежит огромная ответственность, как на привратнике у входа в магазин App Store, и как надзирателе за приложениями, которые клиенты магазина устанавливают в свои устройства»

— сказал Дэвид Джейкобс (David Jacobs), сотрудник Electronic Privacy Information Center.

«Apple и создатели приложений должны делать все, чтобы люди понимали, на что именно они соглашаются. Сейчас довольно очевидно, что они делают для этого недостаточно».

Источник: appleinsider.com