Categories: MobileMobile Apps

Google-Forscher warnt vor Schwachstelle in Kameraberechtigungen von iOS

Der Google-Forscher Felix Krause weist auf eine Schwachstelle in den Kameraberechtigungen von iOS hin. Sie sind seiner Ansicht nach zu umfangreich und erlauben es Apps sogar, ohne Wissen des Nutzers im Hintergrund die Kamera zu aktivieren und ihn auszuspionieren. Auf GitHub stellt er zudem Beispielcode für eine iOS-App zur Verfügung, die zeigen soll, wie die Kameraberechtigungen von einer App missbraucht werden können.

Gewährt ein Nutzer einer beliebigen App den Zugriff auf seine iPhone- oder iPad-Kamera, kann sie jederzeit die Kameras auf der Vorder- und Rückseite aktivieren und Aufnahmen machen, während die App im Vordergrund ist. Sie muss den Nutzer allerdings nicht darauf hinweisen, dass sie Fotos oder Videos aufnimmt. Zudem darf sie die Fotos oder Videos sofort auf eigene Server hochladen. Zu guter Letzt ist es ihr auch gestattet, die Gesichtserkennung zu aktivieren, um in Echtzeit Gesichtsausdrücke und damit die Stimmung des Nutzers zu erfassen.

„iOS-Nutzer gewähren einer App oftmals unmittelbar nach dem Download den Zugriff auf die Kamera, beispielsweise um ein Profilfoto hinzuzufügen oder ein Foto zu verschicken“, schreibt Krause in seinem Blog. „Solche Apps können ohne viel Aufwand das Gesicht des Nutzers verfolgen, Fotos machen oder einen Livestream der Front- und Rückkamera starten – ohne Zustimmung des Nutzers.“

Fotos vom Gesicht des Nutzers könne eine App beispielsweise mit Fotos im Internet vergleichen, um dessen Identität zu ermitteln. Aufnahmen von der Umgebung lassen seiner Ansicht nach zudem Rückschlüsse auf den Standort zu. Er unterstellt auch, dass ein Abgleich von Fotos vom Gesicht des Nutzers mit seiner Interaktion mit der App eine Einschätzung seiner Stimmung erlaubt – vor allem bei Social-Media-Apps. Das Vision-Framework von iOS 11 erlaube zudem die Verarbeitung von Gesichtsausdrücken in Echtzeit.

Als besonders „gefährlich“ stuft Krause ein, dass Apps nicht anzeigen müssen, dass sie die Kamera aktivieren. „Haben Sie jemals eine Social-Media-App im Badezimmer benutzt“, fragt er bereits am Anfang seines Blogeintrags.

Unter anderem schlägt er vor, ähnlich wie bei aktuellen MacBooks die Aktivität der Kamera durch eine LED zu signalisieren. Darüber hinaus könne Apple eine zeitlich begrenzte Kameraberechtigung einführen, beispielsweise um ein Foto aufzunehmen. Auch ein Icon in der Statusleiste sei denkbar. Sie müsse dann allerdings auch zwangsweise eingeblendet werden, sobald eine App die Kamera öffne.

Wie eine App die Berechtigungen missbrauchen kann, zeigt er mit seiner Beispiel-App namens watch.user auch in einem Video. Es zeigt auch, wie eine solche App dank des Vision-Framework Augen, Nase und Mund erkennen und einem Gesichtsausdruck ein Emoji zuordnen kann – also die Stimmung des Nutzers ermitteln kann.

Krause ist auch für das Developer-Tool Fastlane verantwortlich, das er als Mitarbeiter von Google betreut. Fastlane soll die Veröffentlichung von iOS- und Android-Apps in den jeweiligen Marktplätzen vereinfachen, indem es Aufgaben wie das Übermitteln von Screenshots automatisiert. Krause betont, dass er die Kameraberechtigungen von iOS in seiner Freizeit analysiert hat und kein Zusammenhang zu seiner Arbeit bei Google besteht.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

22 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago