یک توسعه‌دهنده متوجه شد که برنامه‌های iOS می‌توانند ابرداده‌هایی را بخوانند که موقعیت‌های مکانی کاربر و اطلاعات بیشتر درباره‌ی او را نشان می‌دهند، که این یک تهدید جدی برای حریم خصوصی ما است. توسعه‌دهنده فلیکس کراس، بنیان‌گذار Fastlane.Tools، فهمید که برنامه‌های iOS می‌توانند به ابرداده‌های تصویری که سابقه‌ی موقعیت مکانی کاربران را نشان می‌دهند، دسترسی پیدا کنند.

کراس یک تجزیه و تحلیل دقیق در مورد انجمن رادار باز۱ منتشر کرد و توضیح داد که این برنامه فقط به یک اجازه نیاز دارد تا بتواند به کتابخانه‌ی تصویر دسترسی پیدا کند. کراس نوشت: «اگر یک برنامه، مجوز دسترسی به کتابخانه‌ی تصویر را به دست آورد، همچنین دسترسی به تمام ابرداده‌های تصویر به دست خواهد آورد که شامل موقعیت مکانی دقیق نیز می‌شود. این یک مسئله‌ی حریم خصوصی جدی است. زمانی‌که یک برنامه‌ی دوربین شخص ثالث فقط می‌خواهد عکسی که کاربر گرفته را ذخیره کند، به تمام عکس‌ها و موقعیت مکانی آن‌ها که در کتابخانه‌ی تصویر وجود دارد، دسترسی کامل خواهد داشت.»

این کارشناس همچنین یک کد اثبات مفهومی در گیت‌هاب منتشر کرد و توضیح داد که نوشتن آن بسیار آسان است. دسترسی به کتابخانه تصویر به برنامه اجازه می‌دهد تا تمام مجموعه‌ی داده‌ی EXIF را که شامل اطلاعاتی بیشتر از موقعیت مکانی کاربر می‌شود، را دریافت کند. این توسعه‌دهنده ثابت کرد که دسترسی به داده‌های زیر امکان‌پذیر است:
• موقعیت مکانی دقیق تمام چیزهای موجود در تلفن‌همراه
• سرعت فیزیکی تصویر یا ویدئو گرفته شده (سرعت حرکت دوربین)
• مدل دوربین
• تاریخ دقیق + زمان
• دیگر ابردا‌ده‌های تصویر exif

این نوع داه‌ها می‌توانند توسط مهاجمان برای نظارت یا فعالیت‌های جعلی مورد بهره‌برداری قرار بگیرند. کراس به اپل پیشنهاد داد که در روش مدیریت اجازه‌ی دسترسی به کتابخانه‌ی تصویر تجدیدنظر کند، برای مثال از کاربر بخواهد تا به یک برنامه، به طور واضح، اجازه‌ی دسترسی به ابرداده‎های تصویر را بدهد. یکی دیگر از راه‌حل‌های ممکن جدا کردن مجوزها برای انتخاب یک عکس و دادن دسترسی به کتابخانه‌ی عکس است. برنامه‌ی اثبات مفهومی تحت عنوان کشف موقعیت‌های مکانی۲ در اپ‌استور در دسترس است.


۱. Open Radar
۲. DetectLocations

منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

برنامه‌های iOS می‌توانند حریم خصوصی کاربر را در معرض خطر قرار دهند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *