Уязвимость в iOS открывает разработчикам приложений доступ к фотографиям

29 февраля 2012 года

Уязвимость в мобильной платформе iOS, на которой работают гаджеты iPhone, iPad и iPod от компании Apple, может открывать доступ разработчикам приложений к фотографиям пользователя, пишет издание The New York Times.

Запущенное впервые после установки iOS-приложение с геолокационными функциями, как правило, запрашивает разрешение на доступ к информации о местоположении пользователя. Если пользователь дает такое разрешение, то приложение получает доступ к геолокационным меткам, сопровождающим фотографии и видеоролики. В результате приложение получает доступ к библиотеке фотографий устройства без какого-либо дополнительного уведомления, сообщили NYT iOS-разработчики.

"Приложение с доступом к информации о местонахождении пользователя может составить историю его активности, основываясь на тэгах в фотографиях", - заявил изданию сооснователь компании-разработчика iOS-приложений Curio Дэвин Чен (David Chen). "История перемещений, равно как фотографии и видеоролики пользователя, могут быть закачаны на сервер. Как только данные оказываются за пределами iOS-устройства, Apple не имеет возможности отследить или ограничить их использование", - отмечает он.

Полный доступ приложений к фотографиям на устройстве пользователя был разрешен Apple в 2010 году, однако неясно, почему компания связала разрешения на доступ к геолокационной информации с фотоснимками на iOS-устройствах, заявил Джон Касасанта (John Casasanta), владелец студии Tap Tap Tap, разработавшей успешное iPhone-приложение Camera+ app.

Издание NYT проверило уязвимость, попросив разработчика из популярной компании, пожелавшего остаться анонимным, создать тестовое приложение. Выяснилось, что при получении доступа к геолокационной информации на iPhone, приложение действительно получило возможность перекачки фотографий с метками о местах их съемки на сторонние серверы. В официальный магазин Apple App Store это тестовое приложение загружено не было.

Компания Apple не прокомментировала информацию NYT. Как правило, компания достаточно строго относится к качеству приложений в App Store и проверяет каждое из них до того, как его увидит пользователь. По словам разработчиков, многие из них знали об уязвимости, однако предполагали, что Apple не допускает в App Store приложения, эксплуатирующие ее. Есть ли в App Store утвержденные Apple программы, которые могут использовать эту уязвимость, пока не известно.

В то же время, разгоревшийся ранее в этом месяце скандал вокруг приложений для гаджетов Apple также был связан с несанкционированным доступом к данным пользователей. Тогда стало известно, что популярное приложение Path тайно скачивало адресные книги со смартфонов iPhone, а многие другие приложения для iPhone также применяют сомнительные методы для получения контактной информации с устройств пользователей. Apple уже заявила о планах доработать операционную систему iPhone, дав возможность пользователю контролировать обращение сторонних приложений к адресной книге устройства.

Онлайн-магазин Apple App Store является официальным источником приложений для мобильных гаджетов Apple. По неофициальным данным, в нем насчитывается более 600 тысяч программ.