偶然发现,淘宝系 App (淘宝,天猫,闲鱼)的客服界面有获取全部照片的权限。
因为一直对淘宝限制相册权限,只允许访问评价的照片,但是前天和客服对话时候,发图片忽然发现点击客服界面的发送图片居然是整个相册的图片!而且没有确认按钮,点照片直接就发过去了,导致我直接点错了一张私人照片发了过去,然后我前后测试了好几次。存在这样的情况:
淘宝,闲鱼,天猫的评价界面只可以选择上传选定的照片,但是于此同时,打开客服界面的时候,点发送照片或者相册确实整个相册,整个相册!我并没有给这几个 app 整个相册的权限,其他 app 比如京东没有这个问题。
大家可以测试,我就不发照片了,我想知道这个是 ios 本身的接口?还是淘宝系利用了什么漏洞?
不管什么情况,这是一个极其严重的问题。即使是 ios 本身功能,那么淘宝客服在用户选择照片时候,没有任何确认预览的情况下直接发送图片极容易导致用户误将私人照片发出去,而且没有删除,撤销。如果是利用漏洞,那么问题就严重了
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.