從”第一個 iOS 惡意程式”事件看 App 存取使用者通訊錄的權限問題

近日一大堆新聞網站的頭條都是有關「第一個 iOS 惡意程式」現身 iOS App Store 商店的訊息。這些頭條看起來很嚇人，但有一個小小問題：其說法並非 100% 正確。

Android 版本的「Find and Call」程式就是趨勢科技所偵測到的 ANDROIDOS_INFOLKFIDCAL.A，而 iOS 版本則是 IOS_INFOLKCONTACTS.A，它只有一個主要功能：偷偷將使用者的通訊錄傳送至一個遠端伺服器。簡單的說，這很明顯違反了個人的隱私權，所有 App 程式都不應該這麼做。但也僅止於此。在這個案例當中，通訊錄當中的聯絡人會收到一些垃圾郵件(SPAM)，但這是由遠端的伺服器所發送，而非來自「惡意程式」本身。

問題是，正常的應用程式也曾經做過同樣的事。最有名的就是「Path」社交網路 App 程式，它在今年稍早就被人逮到從事同樣的行為。Path 如此明目張膽的行徑在當時引來了強烈的批評。

這件事引起了 Apple 的特別注意，因此在 iOS 6 Beta 版當中，每次一個 App 程式要存取/傳送使用者的聯絡人、行事曆、備忘錄或相片之前，系統都會先徵詢使用者同意。

事實上，已經有太多正常的 App 程式都想要知道使用者的行為模式，因此，將使用者的行事曆資訊傳送到伺服器已經不再讓人立即聯想到「不良」行為，因為很多人都允許 App 程式這麼做。不幸的是，將使用者通訊錄名單外傳的行為竟然被這些 App 程式給「合理化」了，即使它嚴格來說仍舊是一種可惡的行為。其實，「Find and Call」的確有先要求取得使用者通訊錄的存取權限，有圖為證：

對於這所謂「第一個 iOS 惡意程式」的誇大說法，使用者不必隨之起舞，但應該想想該應用程式 (以及背後的作者) 真正做了什麼：存取您的通訊錄。也想想有多少應用程式都曾經要求過同樣的權限，而且通常都是以和你的好友/聯絡人分享或搜尋你作為幌子。使用者應該將此事件當成一記醒鐘：以後該多注意自己將資訊開放給哪些對象、還有次數有多頻繁。

對於提供工具協助使用者掌控個人資訊的 Apple，我們應該給予掌聲。其他的行動裝置作業系統廠商也應跟進，為使用者提供保護個人隱私的功能。

@原文來源: (Malware for iOS? Not Really