Приложения на iPhone могут «сливать» ваши фотографии
Вчера в The New York Times появилась статья о том, что приложение, получившее от пользователя разрешение на запуск сервисов определения локации, в виде скрытой фоновой задачи получает доступ к геофотографиям из iPhone, iPad или iPod touch.
Оказывается, разработчики с недавних пор знали о существовании лазейки, но пока не имели доказательств об объемах ее функциональности. Издание The Times обратилось к разработчику, который пожелал остаться неназванным из-за его связи с крупной компанией, с просьбой написать тестовую программу, которая бы воспользовалась существующей уязвимостью.
В итоге разработчик создал так называемый «PhotoSpy» — код, который, будучи установленным и запущенным на iPhone, вначале запрашивает доступ к данным о местонахождении пользователя. После этого приложение начинает процесс загрузки фотографий и соответствующих им локационных данных на удаленный сервер.
«Не исключено, что приложения, имеющие доступ к локационным данным пользователя, могут составить историю о том, как пользователь перемещался, на основании этих данных? — комментирует сооснователь компании Curio Дэвид Чен (David E. Chen). — Рассказ о местонахождении вместе с фотографиями и видео пользователя будут выгружены на сервер. Как только данные уходят из iOS-устройства, Apple практически не имеет возможности контролировать или ограничивать возможности их использования».
В качестве защиты Apple может предложить запуск приложений в режиме «песочницы», или ограничение доступа к данным и определенным функциям iOS системного уровня. Когда компания изменила свою мобильную платформу с «iPhone OS» на «iOS» в 2010 году, в «песочницу», кроме прочих системных сервисов, попала и фотоколлекция пользователя.
Теоретически Apple по-прежнему контролирует возможности попадания вредоносного программного обеспечения в App Store – компания проверяет и утверждает весь цифровой ассортимент, попадающий в ее магазин приложений. Тем не менее, в последнее время со стороны Apple случаются и оплошности, что неудивительно, так как количество приложений в App Store выросло до невероятных размеров.
В качестве примера такой оплошности можно привести фальшивое приложение «Pokemon», которое не просто попало в App Store – оно попало в пятерку самых популярных приложений, прежде чем его убрали из магазина.
Чтобы упростить работу пользователей и сделать продукт более целостным, разработчики искали способы консолидации данных в фоновом режиме, в результате некоторые их усилия сочли вторжением в частную жизнь пользователей. В этом месяце под гневную критику попала социальная сеть «Path» за то, что в фоновом режиме выгружала данные о контактах пользователя, чтобы облегчить ему процесс соединения с друзьями в сети. В итоге компании-разработчику пришлось внести исправления в приложение и извиниться перед пользователями.
«На Apple лежит огромная ответственность, как на привратнике у входа в магазин App Store, и как надзирателе за приложениями, которые клиенты магазина устанавливают в свои устройства, — сказал Дэвид Джейкобс (David Jacobs), сотрудник Electronic Privacy Information Center. — Apple и создатели приложений должны делать все, чтобы люди понимали, на что именно они соглашаются. Сейчас довольно очевидно, что они делают для этого недостаточно».
Источник: AppleInsider.ru.