電腦店訊:Windows Phone的安全性大家有目共睹,但也會有小插曲。近期微軟Windows Phone商店迎來一次Bug修復,本次修復解決了一個安全隱私漏洞,該漏洞可能允許開發者發布一款未經用戶授權就可以獲取本地照片的訪問權的WP8應用。
這次微軟Windows Phone商店更新,雖然動作很小,但還是引起了開發者Al Gihuni的注意,而Al Gihuni為WP平台開發了熱門雲音樂應用《SoundClone》。
開發者Al Gihuni也在外媒wpcentral網站上展示一款模擬測試應用(TicTacHum),重演了如何獲取WP8用戶本地圖片的訪問權。
具體操作流程:
1、開發者設計一款測試應用(TicTacHum)
2、提交到微軟Windows Phone商店,勾選三項應用條件:1、獲取photo library;2、獲取手機ID;3、獲取用戶ID
3、經過微軟商店認證流程後,成功發布到WP商店中。注:微軟已經改進WP商店的應用認證流程,最快只需要1小時。
4、用戶進入微軟WP商店,搜索該測試應用(TicTacHum)並下載,在該應用詳細信息裡,注明只有手機ID、用戶ID的說明,並沒有提示用戶,該應用還需要獲取photo library權限。
5、用戶開始安裝部署,運行該應用(TicTacHum)。
6、成功進入TicTacHum應用主界面,同時也獲取到本地圖片訪問權。
雖然用戶沒有授權TicTacHum應用的photo library權限,但是該應用還是利用WP商店漏洞實現了獲取本地圖片的訪問權。
▲這裡也證實了微軟WP商店存在該安全漏洞
所幸的是,目前未有一款利用WP8商店漏洞制作的應用上架 ,並且微軟也及時修復WP商店的安全漏洞,WP8用戶可以放心下載安裝各類應用和游戲。
