Categories: MobileMobile Apps

Google-Forscher warnt vor Schwachstelle in Kameraberechtigungen von iOS

Der Google-Forscher Felix Krause weist auf eine Schwachstelle in den Kameraberechtigungen von iOS hin. Sie sind seiner Ansicht nach zu umfangreich und erlauben es Apps sogar, ohne Wissen des Nutzers im Hintergrund die Kamera zu aktivieren und ihn auszuspionieren. Auf GitHub stellt er zudem Beispielcode für eine iOS-App zur Verfügung, die zeigen soll, wie die Kameraberechtigungen von einer App missbraucht werden können.

Gewährt ein Nutzer einer beliebigen App den Zugriff auf seine iPhone- oder iPad-Kamera, kann sie jederzeit die Kameras auf der Vorder- und Rückseite aktivieren und Aufnahmen machen, während die App im Vordergrund ist. Sie muss den Nutzer allerdings nicht darauf hinweisen, dass sie Fotos oder Videos aufnimmt. Zudem darf sie die Fotos oder Videos sofort auf eigene Server hochladen. Zu guter Letzt ist es ihr auch gestattet, die Gesichtserkennung zu aktivieren, um in Echtzeit Gesichtsausdrücke und damit die Stimmung des Nutzers zu erfassen.

„iOS-Nutzer gewähren einer App oftmals unmittelbar nach dem Download den Zugriff auf die Kamera, beispielsweise um ein Profilfoto hinzuzufügen oder ein Foto zu verschicken“, schreibt Krause in seinem Blog. „Solche Apps können ohne viel Aufwand das Gesicht des Nutzers verfolgen, Fotos machen oder einen Livestream der Front- und Rückkamera starten – ohne Zustimmung des Nutzers.“

Fotos vom Gesicht des Nutzers könne eine App beispielsweise mit Fotos im Internet vergleichen, um dessen Identität zu ermitteln. Aufnahmen von der Umgebung lassen seiner Ansicht nach zudem Rückschlüsse auf den Standort zu. Er unterstellt auch, dass ein Abgleich von Fotos vom Gesicht des Nutzers mit seiner Interaktion mit der App eine Einschätzung seiner Stimmung erlaubt – vor allem bei Social-Media-Apps. Das Vision-Framework von iOS 11 erlaube zudem die Verarbeitung von Gesichtsausdrücken in Echtzeit.

Als besonders „gefährlich“ stuft Krause ein, dass Apps nicht anzeigen müssen, dass sie die Kamera aktivieren. „Haben Sie jemals eine Social-Media-App im Badezimmer benutzt“, fragt er bereits am Anfang seines Blogeintrags.

Unter anderem schlägt er vor, ähnlich wie bei aktuellen MacBooks die Aktivität der Kamera durch eine LED zu signalisieren. Darüber hinaus könne Apple eine zeitlich begrenzte Kameraberechtigung einführen, beispielsweise um ein Foto aufzunehmen. Auch ein Icon in der Statusleiste sei denkbar. Sie müsse dann allerdings auch zwangsweise eingeblendet werden, sobald eine App die Kamera öffne.

Wie eine App die Berechtigungen missbrauchen kann, zeigt er mit seiner Beispiel-App namens watch.user auch in einem Video. Es zeigt auch, wie eine solche App dank des Vision-Framework Augen, Nase und Mund erkennen und einem Gesichtsausdruck ein Emoji zuordnen kann – also die Stimmung des Nutzers ermitteln kann.

Krause ist auch für das Developer-Tool Fastlane verantwortlich, das er als Mitarbeiter von Google betreut. Fastlane soll die Veröffentlichung von iOS- und Android-Apps in den jeweiligen Marktplätzen vereinfachen, indem es Aufgaben wie das Übermitteln von Screenshots automatisiert. Krause betont, dass er die Kameraberechtigungen von iOS in seiner Freizeit analysiert hat und kein Zusammenhang zu seiner Arbeit bei Google besteht.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Knöllchen-Schock per SMS

In den USA häufen sich Fälle von Phishing-Angriffen, bei denen Betrüger gefälschte SMS im Namen…

8 Minuten ago

Streit mit Google: US-Regierung beharrt auf Verkauf von Chrome

Das Justizministerium wirft Google Monopolpraktiken im Bereich Suche und Online-Werbung vor. Ein Verkauf von Chrome…

3 Stunden ago

Digitale Souveränität: Provider entwickeln API-Standard

Lösung soll den Aufbau des EuroStacks unterstützen, der Europas souveräne digitale Infrastruktur werden soll.

7 Stunden ago

FlexiSpot als eine der „The Major German Brands 2025“ ausgezeichnet

Auszeichnung unterstreicht das Engagement von FlexiSpot für nachhaltiges und ergonomisches Design sowie seinen Beitrag zur…

2 Tagen ago

Test: Ergonomischer Bürostuhl Doro C300 von SIHOO punktet durch Tracking der Bewegungen

Der Büro- und Gamerstuhl erkennt Gewicht der Nutzer und unterstützt Lendenwirbel und Nacken in jeder…

4 Tagen ago

Bericht: Faltbares iPhone kommt frühestens 2026

Der Analyst Ming-Chi Kuo geht von einem Preis zwischen 2000 und 2500 Dollar aus. Trotzdem…

4 Tagen ago