淘宝系 App 的客服界面在 Select Photos 权限下可以获取到全部照片,这是利用了什么漏洞吗?
danhahaha · 2022-05-19 12:18:04 +08:00 · 1645 次点击这是一个创建于 911 天前的主题,其中的信息可能已经有所发展或是发生改变。
偶然发现,淘宝系 App (淘宝,天猫,闲鱼)的客服界面有获取全部照片的权限。
因为一直对淘宝限制相册权限,只允许访问评价的照片,但是前天和客服对话时候,发图片忽然发现点击客服界面的发送图片居然是整个相册的图片!而且没有确认按钮,点照片直接就发过去了,导致我直接点错了一张私人照片发了过去,然后我前后测试了好几次。存在这样的情况:
淘宝,闲鱼,天猫的评价界面只可以选择上传选定的照片,但是于此同时,打开客服界面的时候,点发送照片或者相册确实整个相册,整个相册!我并没有给这几个 app 整个相册的权限,其他 app 比如京东没有这个问题。
大家可以测试,我就不发照片了,我想知道这个是 ios 本身的接口?还是淘宝系利用了什么漏洞?
不管什么情况,这是一个极其严重的问题。即使是 ios 本身功能,那么淘宝客服在用户选择照片时候,没有任何确认预览的情况下直接发送图片极容易导致用户误将私人照片发出去,而且没有删除,撤销。如果是利用漏洞,那么问题就严重了
 |
1
AoEiuV020CN 2022-05-19 12:26:10 +08:00  3
试了,这个相册 ui 一看就是系统提供的,而不是淘宝自己的 ui ,
也就是说点击“相册”,ios 系统提供一个页面给你选择照片,选中的照片会被传给 app ,app 本次只能看到这一张照片, 兼顾方便和安全,安卓也有一样的东西, |
 |
2
danhahaha OP @AoEiuV020CN 原来这样,非常感谢
|
 |
3
zhaidoudou123 2022-05-19 12:28:54 +08:00 6
本身功能
多查查,v2ex 隔段时间就有一次讨论 |
 |
4
duxiansen 2022-05-19 13:00:45 +08:00 1
这个才是对用户来说最好的做法
|
 |
5
deplivesb 2022-05-19 13:01:34 +08:00 1
v 站一搜一大把,这个叫 Image Picker ,用的系统的接口,求求你了自己能打这么多字问也不愿意自己搜一下
|
|
6
danhahaha OP @deplivesb 第一,我不是 ios 开发,我不懂这个是什么技术,所以我是用的问号,问大家是不是系统功能。
第二,我有搜过,没有搜到,所以求求你想一下我为什么能打这么多字而不是自己去搜一下 |
 |
7
dcty 2022-05-19 13:33:05 +08:00 1
|
 |
8
zjuster 2022-05-19 13:35:27 +08:00 1
|
 |
9
littlewing 2022-05-19 13:40:02 +08:00 1
其实这种方式才是最好的,而不是现在要么给全部权限,要么给部分,每次有一张新照片需要给权限的时候,都得重复来一次,所以我干脆就全部不给,需要的时候直接打开相册分享到 app
|
|
10
danhahaha OP 原来你们是搜 v 站,我是搜 google ,没有找到原因,直接来 v 站发帖提问,我没想到是很普遍的问题,用了好几年没发现这个问题
|
|
11
danhahaha OP 不管怎么样,这着实吓了我一跳
而且淘宝客服界面在用户选择照片时候,没有任何确认预览的情况下直接发送图片,我觉得这个是个比较严重问题 |
 |
12
icyalala 2022-05-19 13:54:32 +08:00 2
|
 |
14
cslive 2022-05-19 19:17:40 +08:00
日经贴,经常看到这个问题
|
Select Language