Categories: MobileMobile OS

Österreichischer App-Entwickler warnt vor Datenleck in iOS

Der App-Entwickler Felix Krause, der für Twitter tätig war und inzwischen bei Google arbeitet, hat ein mögliches Datenleck in iOS entdeckt. Ihm zufolge sind Apps, die Zugriff auf die Foto-Bibliothek eines iOS-Geräts erhalten, auch in der Lage, jegliche Metadaten der Bilder auszulesen. Als Folge können diese Apps auch die in den sogenannten EXIF-Daten enthaltenen Standorte auslesen und zusammen mit den Aufnahmedaten sogar ein Bewegungsprofil eines Nutzers erstellen.

„Das ist ein erhebliches Datenschutzproblem, da Kamera-Apps von Drittanbietern, die eigentlich nur ein vom Nutzer aufgenommenes Foto speichern wollen, vollen Zugriff auf alle Fotos in der Bibliothek und deren Standort erhalten“, erläutert Krause auf Open Radar. Dort beschreibt er auch die notwendigen Schritte, mit denen Entwickler den Fehler nachvollziehen können. Demnach ist ein einfacher Befehl in Objective C ausreichend, um die gesamten EXIF-Daten eines Fotos auszulesen.

Diese enthalten neben der Position und dem Aufnahmedatum auch Details zur verwendeten Kamera sowie deren Einstellungen wie Belichtungszeit und Blende. Es lassen sich aber auch die verwendete iOS-Version und die Modellbezeichnung des iPhones auslesen.

Auf GitHub veröffentlichte der Entwickler zudem einen Proof-of-Concept. Einen ersten Prototyp habe er in weniger als einer Stunde fertiggestellt. Eine daraus entwickelte App ist seit gestern in der Version 1.1 zudem in Apples App Store erhältlich. Die DetectLocations genannte App fragt beim ersten Start die Berechtigung zum Zugriff auf Fotos ab. Danach ist sie in der Lage, die ausgelesenen Standortdaten auf einer Karte anzuzeigen und mögliche Routen, die der Nutzer genommen hat, zu errechnen.

Da in den EXIF-Daten auch festgehalten wird, mit welcher Geschwindigkeit sich die Kamera während der Aufnahme bewegt hat, lassen sich die Standortdaten auch nach in „Flugzeug, Auto oder Zug“ aufgenommen Fotos filtern. Krause weist zudem darauf hin, dass einige Nutzer ihre Fotos über einen Zeitraum von mehreren Jahren hinweg auf ihrem iOS-Gerät speichern und die Bibliothek dabei sogar von einem iPhone auf ein anderes übertragen.

„Möchten Sie die Bewegungen ihrer Nutzer in den vergangenen Jahren erfahren, inklusive den Städten, die sie besucht haben, welche iPhones sie benutzt haben und wie sie reisen?“, heißt es in der Beschreibung der auf GitHub verfügbaren Open-Source-Version von DetectLocations. „Möchten Sie alle diese Daten in weniger als einer Sekunde? Dann ist dieses Projekt für Sie!“

Krause fordert nun, dass Apple die Berechtigungen von iOS überarbeitet und für Foto-Apps feiner gliedert. Seiner Ansicht nach sollte es separate Berechtigungen für das Speichern von Fotos (beispielsweise für Kamera-Apps) und das Auswählen von Fotos (beispielsweise für die Veröffentlichung in Sozialen Netzwerken) geben. Vollen Zugriff auf Fotos und Metadaten sollten ihm zufolge nur Dienste wie Dropbox oder Google erhalten, die ein vollständiges Backup der Bibliothek durchführen. Derzeit gebe es für alle Apps aber nur den vollständigen Zugriff.

Unklar ist, ob Krause Apple über seine Erkenntnisse informiert hat. Spätestens sollte das Unternehmen aus Cupertino aber über Krause im App Store eingereichte App DetectLocations von dem Problem erfahren haben. Ob die App dauerhaft im App Store verweilt oder von Apple verbannt wird, bleibt abzuwarten. Krause selbst zeigte sich auf Twitter überrascht, dass Apple seine App in den App Store aufgenommen hat.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago