騰訊數碼訊(Bear)iOS 系統的用戶隱私策略是,如果想要訪問照片、攝像頭和地理位置信息,事先需要征得用戶的同意。但現在一位谷歌工程師通過創建一種演示程序,展示瞭流氓軟件如何濫用這種 iOS 系統的隱私權限,能夠在我們使用 App 的時候偷偷拍照,甚至同時調取前置攝像頭和主攝像頭。
這位名叫 Felix Krause 表示,造成這個問題的是用戶授與瞭全面的許可。這款應用由於有瞭正當的理由訪問用戶相機,因此可以在應用內拍照,並且是在任何時候都可以進行拍照或視頻,而除瞭第一次提醒之外沒有任何一次其它提醒。
Krause 用一款社交網絡應用進行瞭演示,在請求允許訪問相冊和上傳照片後,當我們在瀏覽照片信息流的時候,沒有通知的情況下直接拍照和拍攝視頻。
同時他還描述瞭通過攝像頭是如何通過識別用戶面部信息的,通過分析面部表情來追蹤我們看到頁面上廣告時的表情。這隻是一種演示實例,解釋瞭其中一種非法調取攝像頭的應用場景。顯然,這隻是比較無傷大雅的行為,如果有人想要進一步利用,那麼就會造成更大的問題。
不過 Krause 描述的缺點也顯而易見,一旦我們允許訪問攝像頭,那麼根據定義應用就可以使用它。不過考慮到蘋果的應用程序審查流程可以檢測流氓應用,因此這種風險的概率較低。
但是蘋果的應用審查程序並不完美,之前我們已經看到過 Uber 濫用全新追蹤用戶位置的新聞。因此 Krause 表示可以通過一些方式彌補這個漏洞。
蘋果可以通過一後者能夠允許臨時訪問攝像頭的方法,比如分享照片或拍照時,然後在狀態欄顯示正在使用攝像頭的圖標。這樣一旦有應用正在訪問攝像頭,用戶就可以第一時間察覺。
當然,還可以通過拍照的時候出現提示音的方式解決。當然還有第三種建議,那就是使用智能手機的 LED 燈,的攝像頭被使用的時候,LED 燈會閃爍。不過由於 iPhone X 使用瞭 " 齊劉海 " 設計,因此這種方式應該不太可行瞭。
