De acordo com o New York Times, que noticiou primeiro as duas falhas, quando um app no iOS pergunta se pode acessar sua localização, ele também ganha acesso às fotos no iPhone ou iPad – mesmo que o app nunca avise que pode ver suas fotos. Se o app for malicioso, ele ainda pode enviá-las para um servidor.

O NYT diz que esta falha é conhecida há muito tempo, mas “não está claro” se ela já foi usada. Um app assim não poderia entrar na App Store porque viola as diretrizes da Apple, que testaria o app e notaria o comportamento estranho. Mas, como vimos no caso Path – que não avisava que podia ver e enviar seus contatos – a Apple nem sempre filtra bem os apps. Espero que eles resolvam logo este problema.

No Android, por sua vez, qualquer app pode acessar suas fotos. Antes de instalar um app no Android, seja no Market ou não, você precisa aceitar as permissões exigidas pelo app. No entanto, mesmo apps com zero permissões conseguem ver suas fotos. E, se o app tiver permissão de acessar a internet, ele pode facilmente copiar as fotos e enviá-las a um servidor remoto, sem você ficar sabendo. Novamente, não está claro quais apps fazem isso.

O Google confirmou o problema, dizendo que esta é uma escolha de design, e não um descuido – mas disse que vai levar em consideração se conserta isto. Na verdade, este parece ser um problema de retrocompatibilidade, uma decisão tendo em mente como os primeiros celulares com Android salvavam e compartilhavam dados.

Fotos são algo extremamente pessoal: dependendo do caso, você não vai querer ver suas fotos por aí na internet. Apple e Google precisam resolver isso, e logo. [New York Times via 9to5Mac; NYT]