Eine iOS-Funktion, die Anwendungen den Standort des Nutzers ermitteln lässt, ermöglicht diesen Apps aufgrund eines Sicherheitslecks auch heimlichen Zugriff auf die komplette Foto-Bibliothek. Das berichtet der Bits Blog der New York Times.


Mit der Test-App „PhotoSpy“ konnte die iOS-Lücke nachgewiesen werden (Bild: via New York Times).

Verlangt eine iOS-Anwendung Zugriff auf GPS-Informationen, zeigt sie in der Regel ein Dialogfenster an, in dem der Nutzer den Vorgang mit einem Klick auf OK bestätigen muss. Sollte er dies tun, könnten Entwickler aber auch Fotos – inklusive GPS-Metadaten – auf einen Server kopieren, ohne dass der Anwender etwas davon mitbekommt, heißt es in dem Bericht.

Noch sei „unklar“, ob irgendein Programm aus Apples App Store die Schwachstelle ausnutze. Mit einer nicht veröffentlichten Test-Anwendung eines anonymen iOS-Entwicklers sei es aber möglich gewesen, Nutzer-Fotos mithilfe der Dialogoption auf einen Server hochzuladen. Die Hintertür stehe seit 2010 mit der Einführung von iOS 4.0 offen. Das Betriebssystem-Update brachte neben Multitasking auch die Ortungsfunktion.

Apple wollte den Bericht nicht kommentieren. Wie The Verge unter Berufung auf „mit der Situation vertraute Quellen“ meldet, wird das Problem voraussichtlich mit einem kommenden iOS-Update behoben. Möglicherweise stellt Apple den Fix zusammen mit einem Patch für die kürzlich entdeckte Sicherheitslücke bereit, die Anwendungen das heimliche Auslesen des Adressbuchs und die Weiterleitung der Kontaktdaten an den Server des App-Entwicklers ermöglicht.

Laut Apple verstoßen Apps für iPhone und iPad, die ungefragt Daten auslesen, gegen seine Richtlinien für iOS-Entwickler. Eine aktualisierte Version des Mobilbetriebssystems soll diese offenbar gängige Praxis verhindern. Einen Termin für das Update hat Apple noch nicht genannt.

Erst vergangene Woche hatten sich die Anbieter der sechs größten App Stores in einer Übereinkunft mit dem kalifornischen Justizministerium zu mehr Datenschutz bei mobilen Apps verpflichtet. Apple, Google, Microsoft, Amazon, Hewlett-Packard und Research In Motion verlangen ab sofort von den Entwicklern, entsprechende Datenschutzmechanismen in den Apps zu integrieren. So soll der Nutzer schon vor dem Download darüber informiert werden, auf welche Daten die App zugreift und was sie damit macht. Bei Verstößen gegen die neuen Richtlinien drohen Entwicklern Geldstrafen von bis zu 500.000 Dollar.

Das Abkommen zwischen dem Justizministerium und den App-Store-Betreibern schafft zwar Transparenz, schützt aber nicht die Privatsphäre. Es werden weiterhin Daten erhoben. Der Anwender wird lediglich darüber informiert, welche Daten von der jeweiligen App genutzt werden. Will er die App verwenden, muss er die Datenerhebung wohl oder übel akzeptieren.

Für einen Schutz der Privatsphäre müsste man eine Kontrolle über die von der App erhobenen Daten haben. Diese Möglichkeit steht Anwendern offen, die ihr iPhone oder iPad gejailbreakt haben. Der Tweak aus dem Cydia Store „Protect my Privacy (PMP)“ informiert Nutzer darüber, auf welche Daten eine App zugreift. Dazu zählen die eindeutige Geräte-ID, Kontakte und Standortdaten. Darüber hinaus kann PMP diesen Zugriff verhindern beziehungsweise „falsche“ Daten an die App übermitteln, sodass die Privatsphäre des Nutzers gewahrt bleibt.

[mit Material von Josh Lowensohn, News.com]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago