Menü
Mac & i

DetectLocations: iOS-Fotofreigabe verrät auch Aufenthaltsorte

Wird einer App Zugriff auf die iOS-Fotomediathek erlaubt, kann diese Standorte aus den Metadaten auslesen und so unbemerkt ein umfangreiches Bewegungsprofil erstellen. Eine im App Store erhältliche iPhone-App soll dies veranschaulichen.

vorlesen Drucken Kommentare lesen 3 Beiträge
Fotozugriff in iOS

Erlaubt man einer App den Zugriff auf die Fotodatenbank kann diese auch sämtliche Metadaten auslesen.

Anzeige
Apple iPhone 8 64GB silber
Apple iPhone 8 64GB silber ab € 578,86

Mit der App DetectLocations will ein Entwickler auf eine “Datenschutz-Lücke” in iOS aufmerksam machen: Erlaubt man einer App den Zugriff auf die Fotodatenbank, kann diese auch alle Metadaten auslesen, darunter den exakten Ort und Zeitpunkt der Aufnahme, die Geschwindigkeit zum Zeitpunkt des Fotos, das Kameramodell und weitere EXIF-Daten, wie der für Google tätige Felix Krause aufführt – dies klappt auch, wenn die App keine Freigabe zum Zugriff auf die Ortungsdienste besitzt.

Mit diesen Daten lasse sich problemlos ein Bewegungsprofil erstellen, das so weit zurück reicht, wie die vom Nutzer mit geschossenen Fotos – solange diese die Standortdaten vermerkt haben.

Um das Problem zu veranschaulichen, hat Krause die App “DetectLocations” geschrieben, die Apple ungehindert in den App Store gelassen hat. Sie zeigt innerhalb weniger Sekunden alle Orte, an denen Fotos aufgenommen wurde und versucht außerdem, die Reiserouten nachzuzeichnen, die der Nutzer genommen hat. Die App kann außerdem Fotos zeigen, die aus Auto, Zug oder Flugzeug geschossen wurden. Den Code hat Krause auf Github veröffentlicht.

Oft geben die gespeicherten Fotos sehr viel Preis über den Nutzer preis: DetectLocations zeigt Orte und Routen.

(Bild: Entwickler)

Er habe die Schwachstelle bereits an Apple gemeldet, so der Entwickler. Er hofft nun aber, dass die öffentliche Aufmerksamkeit zu einer schnelleren Behebung führt. Es sollte zwei unterschiedliche Erlaubnisstufen für den Foto-Zugriff geben, schreibt Krause – eine rein für den Upload einzelner spezifischer Bilder und eine zweite für den vollen Zugriff auf die Fotomediathek.

In iOS 11 können Apps erstmals reinen Schreibzugriff auf die Fotodatenbank anfordern, um dort Bilder zu speichern – aber keine einsehen zu können. Apps können mit einer neuen Apple-API in iOS 11 außerdem auf Fotos zurückgreifen, ohne dass der Nutzer dafür erst die Erlaubnis erteilen muss. Die Bildauswahl läuft in einem eigenen abgeschotteten Prozess, wie Apple auf der zurückliegenden Entwicklerkonferenz ausführte, so dass die App nur die vom Nutzer ausgewählten Exemplare zu sehen bekommt, aber nicht den gesamten Inhalt der Fotobibliothek.

iPhone- und iPad-Nutzer können in den Einstellungen unter Datenschutz/Fotos prüfen, welche Apps bereits vollen Lese- und Schreibzugriff auf Bilder und Videos haben. (lbe)