Apple'ın ihmali gibi görünen ve yeni keşfedilen bir açık, iOS uygulamalarının görsel üst-verilere ve dolayısıyla iThing kullanıcı konumu tarihine erişmesine sebep oluyor.
Fastlane Tools'un kurucusu Felix Krause'un yayınladoğı rapora göre, eğer bir uygulama fotoğraf kütüphanenize erişime sahipse, görsel dosyalarının içinde bulunan konum ve tarih verilerine de erişebiliyor. Yani bir uygulamanın konum tarihinize erişmesi için konum bilgisi izini almasına gerek bile yok, eğer fotoğraf galerinize erişmesine izin verdiyseniz, uygulama görsellerin içine gömülü tarih ve konum gibi üst-verilere erişebiliyor.
Bunun ciddi bir güvenlik açığı olduğunu söyleyen Krause, üçüncü parti kamera ve fotoğraf manüplasyon uygulamalarının izin listesinde olmamasına rağmen konum bilgilerinize erişmesine sebep oluyor.
Krause, açığın ciddiyetini göstermek için sadece bir saat için prototip bir uygulama yazdı. GitHub'dan erişebileceğiniz uygulama, sadece görsel kütüphanenize erişim istiyor, ama aşağıdaki listede bulunan tüm verilere erişebiliyor.
- Her görselin konum verisi.
- Görselin çekim hızı, enstantane ve pozlama değerleri.
- Kameranın modeli.
- Görselin oluşturulduğu tarih ve saat.
Tüm bu veriler daha etkili saldırılar için kullanılabilir. Krause'a göre Apple'ın fotoğraf izinleri konusunda kesinlikle bir önlem alması gerekiyor. Ya görsellere erişen uygulamaların bu verilere de eriştiği konusunda bir uyarı ve izin istenmeli, ya da görsel seçimi ve kütüphane erişiminin ayrılması gerekiyor.
Uygulamayı ayrıca App Store'dan da indirebilirsiniz.