真的不知道 Apple 審查漏洞的邏輯是什麼

我發現如果使用者授權APP 可以存取完整相簿的時候
該 APP 就可以在使用者「不知情」的情況下「主動」讀取你的相簿「上傳」到遠端伺服器

一般來說就算使用者授權 APP 可以存取完整相簿
也需要使用者「手動選擇」要上傳的照片
APP 才能上傳這些照片

而且多數使用者為了方便
根本不會授權限制存取
因為每次要上傳新照片還要再重新授權一次
或是使用者根本分不清楚這兩種授權差異

除了 APP 可以偷走你的相簿內容
還可以讀到「已刪除和已隱藏」的內容
正常情況下要讀取這些內容是要輸入手機螢幕密碼的
但這個方法不用

而且 APP 在偷走你相簿的時候
「完全不會留下隱私存取紀錄」
正常情況下 APP 有存取相機或相簿
都會出現在 APP 隱私報告中
所以你除了被偷照片之外
你還沒辦法追查到底有沒有被偷
不知道什麼時候被偷
被哪個 APP 偷

然後 Apple 堅持這是「預期行為」
所以不認為這是漏洞
也不認為有什麼風險
完全就是允許 APP 做間諜程式偷你的相簿

如果你的相簿裡有什麼密碼或助記詞之類的截圖
或是什麼機密性的內容
千萬不要授權任何 APP 可以「完整存取」你的相簿
寧願你麻煩一點
選擇「限制授權」
每次要上傳新照片時再選擇要授權的照片

這明明是符合 50000 美金的漏洞
卻一直跟我說這是「預期行為」
我已經反覆說明三次了

Apple 這個回覆真是讓人傻眼

如果看不懂這篇文在講什麼
只要記得做兩件事就好

第一件事
到「設定」->「隱私權與安全性」->「照片」
找到「完整取用權限」改成「受限制的取用權限」
記得每個 APP 都要改
而且你只能一個一個慢慢改
如果你有多部裝置有同步相簿
記得每個裝置都要做同樣的設定
不然惡意 APP 還是能從沒設定的裝置偷走你的相簿內容

第二件事
到「設定」->「隱私權與安全性」->「App 隱私權報告」
開啟報告
這樣你才能知道有哪些 APP 存取你的資料

目前沒有已撰寫的回應，建議對其抱持健康的懷疑。