真的不知道 Apple 審查漏洞的邏輯是什麼 我發現如果使用者授權APP 可以存取完整相簿的時候 該 APP 就可以在使用者「不知情」的情況下「主動」讀取你的相簿「上傳」到遠端伺服器 一般來說就算使用者授權 APP 可以存取完整相簿 也需要使用者「手動選擇」要上傳的照片 APP 才能上傳這些照片 而且多數使用者為了方便 根本不會授權限制存取 因為每次要上傳新照片還要再重新授權一次 或是使用者根本分不清楚這兩種授權差異 除了 APP 可以偷走你的相簿內容 還可以讀到「已刪除和已隱藏」的內容 正常情況下要讀取這些內容是要輸入手機螢幕密碼的 但這個方法不用 而且 APP 在偷走你相簿的時候 「完全不會留下隱私存取紀錄」 正常情況下 APP 有存取相機或相簿 都會出現在 APP 隱私報告中 所以你除了被偷照片之外 你還沒辦法追查到底有沒有被偷 不知道什麼時候被偷 被哪個 APP 偷 然後 Apple 堅持這是「預期行為」 所以不認為這是漏洞 也不認為有什麼風險 完全就是允許 APP 做間諜程式偷你的相簿 如果你的相簿裡有什麼密碼或助記詞之類的截圖 或是什麼機密性的內容 千萬不要授權任何 APP 可以「完整存取」你的相簿 寧願你麻煩一點 選擇「限制授權」 每次要上傳新照片時再選擇要授權的照片 這明明是符合 50000 美金的漏洞 卻一直跟我說這是「預期行為」 我已經反覆說明三次了 Apple 這個回覆真是讓人傻眼 如果看不懂這篇文在講什麼 只要記得做兩件事就好 第一件事 到「設定」->「隱私權與安全性」->「照片」 找到「完整取用權限」改成「受限制的取用權限」 記得每個 APP 都要改 而且你只能一個一個慢慢改 如果你有多部裝置有同步相簿 記得每個裝置都要做同樣的設定 不然惡意 APP 還是能從沒設定的裝置偷走你的相簿內容 第二件事 到「設定」->「隱私權與安全性」->「App 隱私權報告」 開啟報告 這樣你才能知道有哪些 APP 存取你的資料 此篇相同回報者之文章列表

Order By:

18 articles