アプリをインストールしたとき、写真のアクセスを許可するという項目がありますが、その許可をした場合、アプリ運営者以外の第三者に写真フォルダの中身全てを見られる可能性はあるのでしょうか?
具体的には、
1. ユーザーAが、アプリXをインストールし、写真アクセスを許可
2. 攻撃者Bが、アプリXの運営サーバーに侵入
3. Bが、Xのサーバーを経由してAの端末内の写真すべてを閲覧
という状況は可能でしょうか?
iPhoneの場合、可能性としてはありますが、本体の内容を見ることができるのではなく、上記の例で言う「アプリX」が「アプリXのサーバーにアップロードした写真」が「攻撃者B」によって見られることになります。つまり、iPhone本体の写真は一切「攻撃者B」に知れ渡ることはありません。
しかし、「アプリX」がiPhone本体の写真を自動バックアップするような機能が合った場合、上記の例のようなことが発生します。
Androidに限って言えば"写真に対する許可"というのは恐らく「画像撮影」に対する権限を指していて、懸念しているような不正アクセスはどちらかというと「ネットワーク接続」や「SDカードアクセス」等、複数の権限を組み合わせた場合に起こる…かもしれない。