Categories: MobileMobile OS

Österreichischer App-Entwickler warnt vor Datenleck in iOS

Der App-Entwickler Felix Krause, der für Twitter tätig war und inzwischen bei Google arbeitet, hat ein mögliches Datenleck in iOS entdeckt. Ihm zufolge sind Apps, die Zugriff auf die Foto-Bibliothek eines iOS-Geräts erhalten, auch in der Lage, jegliche Metadaten der Bilder auszulesen. Als Folge können diese Apps auch die in den sogenannten EXIF-Daten enthaltenen Standorte auslesen und zusammen mit den Aufnahmedaten sogar ein Bewegungsprofil eines Nutzers erstellen.

„Das ist ein erhebliches Datenschutzproblem, da Kamera-Apps von Drittanbietern, die eigentlich nur ein vom Nutzer aufgenommenes Foto speichern wollen, vollen Zugriff auf alle Fotos in der Bibliothek und deren Standort erhalten“, erläutert Krause auf Open Radar. Dort beschreibt er auch die notwendigen Schritte, mit denen Entwickler den Fehler nachvollziehen können. Demnach ist ein einfacher Befehl in Objective C ausreichend, um die gesamten EXIF-Daten eines Fotos auszulesen.

Diese enthalten neben der Position und dem Aufnahmedatum auch Details zur verwendeten Kamera sowie deren Einstellungen wie Belichtungszeit und Blende. Es lassen sich aber auch die verwendete iOS-Version und die Modellbezeichnung des iPhones auslesen.

Auf GitHub veröffentlichte der Entwickler zudem einen Proof-of-Concept. Einen ersten Prototyp habe er in weniger als einer Stunde fertiggestellt. Eine daraus entwickelte App ist seit gestern in der Version 1.1 zudem in Apples App Store erhältlich. Die DetectLocations genannte App fragt beim ersten Start die Berechtigung zum Zugriff auf Fotos ab. Danach ist sie in der Lage, die ausgelesenen Standortdaten auf einer Karte anzuzeigen und mögliche Routen, die der Nutzer genommen hat, zu errechnen.

Da in den EXIF-Daten auch festgehalten wird, mit welcher Geschwindigkeit sich die Kamera während der Aufnahme bewegt hat, lassen sich die Standortdaten auch nach in „Flugzeug, Auto oder Zug“ aufgenommen Fotos filtern. Krause weist zudem darauf hin, dass einige Nutzer ihre Fotos über einen Zeitraum von mehreren Jahren hinweg auf ihrem iOS-Gerät speichern und die Bibliothek dabei sogar von einem iPhone auf ein anderes übertragen.

„Möchten Sie die Bewegungen ihrer Nutzer in den vergangenen Jahren erfahren, inklusive den Städten, die sie besucht haben, welche iPhones sie benutzt haben und wie sie reisen?“, heißt es in der Beschreibung der auf GitHub verfügbaren Open-Source-Version von DetectLocations. „Möchten Sie alle diese Daten in weniger als einer Sekunde? Dann ist dieses Projekt für Sie!“

Krause fordert nun, dass Apple die Berechtigungen von iOS überarbeitet und für Foto-Apps feiner gliedert. Seiner Ansicht nach sollte es separate Berechtigungen für das Speichern von Fotos (beispielsweise für Kamera-Apps) und das Auswählen von Fotos (beispielsweise für die Veröffentlichung in Sozialen Netzwerken) geben. Vollen Zugriff auf Fotos und Metadaten sollten ihm zufolge nur Dienste wie Dropbox oder Google erhalten, die ein vollständiges Backup der Bibliothek durchführen. Derzeit gebe es für alle Apps aber nur den vollständigen Zugriff.

Unklar ist, ob Krause Apple über seine Erkenntnisse informiert hat. Spätestens sollte das Unternehmen aus Cupertino aber über Krause im App Store eingereichte App DetectLocations von dem Problem erfahren haben. Ob die App dauerhaft im App Store verweilt oder von Apple verbannt wird, bleibt abzuwarten. Krause selbst zeigte sich auf Twitter überrascht, dass Apple seine App in den App Store aufgenommen hat.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

6 Minuten ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

18 Stunden ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

23 Stunden ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

1 Tag ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Tagen ago