Österreichischer Entwickler zeigt, wie Foto-Apps am iPhone schnüffeln

    28. September 2017, 11:21
    42 Postings

    iOS gewährt großzügigen Zugriff – App "DetectLocations" zeigt Missbrauchspotenzial auf

    Gewährt man Apps unter iOS Zugriffe auf die eigenen Fotos, so erhalten diese mehr Informationen, als dem Nutzer vielleicht bewusst ist. Das hat der bei Google tätige, österreichische Entwickler Felix Krause aufgedeckt. Welche Daten offen gelegt werden und was sich daraus ableiten lässt, zeigt er mit einer eigenen iPhone-App.

    Doch der Reihe nach: Neben dem Recht, Bilder am Gerät zu verwenden und zu speichern, können Foto-Apps aus den Aufnahmen auch einen umfassenden Standortverlauf des Users erstellen – je nach Umfang der eigenen Bibliothek auch über mehrere Jahre und Geräte hinweg. Dies gilt auch für Fotos, die mit anderen Geräten geschossen und im eigenen Archiv hinterlegt wurden.

    Zahlreiche Informationen ermittelbar

    Wertet man die verfügbaren Daten – hinterlegt sind Standort, Geschwindigkeit bei der Aufnahme, Aufnahmegerät sowie Zeit, Datum und weitere Metadaten – aus, lassen sich daraus Reiserouten ableiten. Ebenso kann ermittelt werden, welche Wege mit einem Verkehrsmittel (Auto, Zug, Flugzeug) zurückgelegt wurden und welche iPhone-Modelle im Besitz des Nutzers sind oder waren. Schränkt man den Aufnahmezeitraum beispielsweise auf "neun bis 17 Uhr" ein, könnte man mit hoher Wahrscheinlichkeit ermitteln, wo ein Nutzer arbeitet, erläutert Krause.

    Dies alles ist möglich, ohne die Fotos direkt sichten zu müssen. Weiterführend denkbar ist auch eine Verknüpfung dieser Informationen mit Gesichtserkennung. So könnte man den Beziehungsstatus des Nutzers herausfinden oder Partner, Familie und Freunde identifizieren. Auch Wohnort, Umzüge und andere Informationen lassen sich potenziell über die Bilder gewinnen. Die einzige Voraussetzung dafür ist, dass der Nutzer die Abspeicherung des Standorts beim Aufnehmen von Fotos zugelassen hat.

    foto: detectlocations

    App demonstriert Missbrauchspotenzial

    Krause hat zum Nachweis des Problems die App "DetectLocations" veröffentlicht, die von Apple auch für den App Store zugelassen wurde. Das Programm steht für Geräte mit iOS 10.3 oder später zur Verfügung. Den Quellcode hat er auf Github offengelegt.

    Prinzipiell wäre dieses Szenario vermeidbar, erläutert der Entwickler. Er schlägt vor, dass separate Berechtigungen für die Auswahl von Fotos – etwa für den Upload bei einem sozialen Netzwerk – und den kompletten Zugang zur Bibliothek eingeführt werden. Für das Abspeichern von Bildern gibt es seit iOS 11 bereits eine eigene Berechtigung, die dem jeweiligen Programm dann ausschließlich Schreibzugriff gewährt. (Georg Pichler, 28.09.2017)

    Share if you care.