iOSapp存取相片权限不够严谨，用户隐私恐不保

iOS 开放app存取资讯的权限机制爆出隐私外泄疑虑，可以让恶意app得以存取整个相片图库及照片metadata，使用户的行踪、工作地点等被完全掌握。
 
Google收购的Fastlane Tools创办人Felix Krause首先发现了这个iOS app权限（permission）设计问题。他解释，iOS的app权限设计，并未区分选择相片以及编辑相片/图片的app，两者是绑在一起的。因此只要使用者同意一次后，不同app就同时取得存取权限。
 
因此只要某个恶意app以选择相片之名，骗取使用者同意存取照片图库后，暗中就可存取手机内所有相片，抓取相片的EXIF metadata。而EXIF metadata包含了相当丰富的资讯，像是拍摄地点的GPS座标、速度，拍摄时间、日期及相机机型等。
 
这么一来，攻击者可以把使用者的身家背景完全看透，像是他旅行的地方、工作地点、使用的装置、通勤路径、甚至经由他出入地点判断他的社交或婚姻状态等。研究人员已将该问题通报苹果。
 
Krause写了一个概念验证的iOS app DetectLocations，号称可搜集使用者相片metadata，并可将相片记录在地图上，没想到竟然还通过App Store的审核而上架。