Windows Phone Store недавно получило багфикс, который устранил уязвимость, позволяющую приложениям получить доступ к фотографиям пользователя без его разрешения.

Уязвимость была продемонстрирована разработчиком, который ее обнаружил. Для демонстрации он опубликовал в магазине специальное приложение. Оно требовало от телефона три разрешения: доступ к медиабиблиотеке, идентификатор телефона и идентификатор владельца. После прохождения сертификации в магазине, страница приложения отображала не полный список разрешений. Там не было указано требование на разрешение доступа к медиабиблиотеке. В результате, приложение получает доступ к вашим фотографиям, но вы об этом не знаете. И не узнаете.

Приложение получило доступ к медиабиблиотеке, но пользователь не давал на это согласия.

Узявимость никак не связана с операционной системой. Все скрывалось в файле WMAppManifest, который есть в каждом приложении. Там хранится общая информация о приложении, а также разрешения, необходимые ему. Проблема заключалась в некорректной работе самого магазина.

Это довольно серьезная уязвимость, которая могла позволит злоумышленникам с легкостью получить доступ к вашим фото. Утечка фотографий грозит не только утечкой информации, изображенной на фото, но и дополнительных метаданных, которые прикрепляются к фотографии, например, геолокационные данные. Насколько нам известно, не было случаев обнаружения приложений, использующих эту уязвимость (кроме приложения, на котором демонстрировалась проблема). И уже можно не волноваться за эту проблему, та как Microsoft устранили проблему в магазине.

Источник: wpcentral.