Österreichischer App-Entwickler warnt vor Datenleck in iOS

Der App-Entwickler Felix Krause, der für Twitter tätig war und inzwischen bei Google arbeitet, hat ein mögliches Datenleck in iOS entdeckt. Ihm zufolge sind Apps, die Zugriff auf die Foto-Bibliothek eines iOS-Geräts erhalten, auch in der Lage, jegliche Metadaten der Bilder auszulesen. Als Folge können diese Apps auch die in den sogenannten EXIF-Daten enthaltenen Standorte auslesen und zusammen mit den Aufnahmedaten sogar ein Bewegungsprofil eines Nutzers erstellen.

„Das ist ein erhebliches Datenschutzproblem, da Kamera-Apps von Drittanbietern, die eigentlich nur ein vom Nutzer aufgenommenes Foto speichern wollen, vollen Zugriff auf alle Fotos in der Bibliothek und deren Standort erhalten“, erläutert Krause auf Open Radar. Dort beschreibt er auch die notwendigen Schritte, mit denen Entwickler den Fehler nachvollziehen können. Demnach ist ein einfacher Befehl in Objective C ausreichend, um die gesamten EXIF-Daten eines Fotos auszulesen.

Diese enthalten neben der Position und dem Aufnahmedatum auch Details zur verwendeten Kamera sowie deren Einstellungen wie Belichtungszeit und Blende. Es lassen sich aber auch die verwendete iOS-Version und die Modellbezeichnung des iPhones auslesen.

Auf GitHub veröffentlichte der Entwickler zudem einen Proof-of-Concept. Einen ersten Prototyp habe er in weniger als einer Stunde fertiggestellt. Eine daraus entwickelte App ist seit gestern in der Version 1.1 zudem in Apples App Store erhältlich. Die DetectLocations genannte App fragt beim ersten Start die Berechtigung zum Zugriff auf Fotos ab. Danach ist sie in der Lage, die ausgelesenen Standortdaten auf einer Karte anzuzeigen und mögliche Routen, die der Nutzer genommen hat, zu errechnen.

Da in den EXIF-Daten auch festgehalten wird, mit welcher Geschwindigkeit sich die Kamera während der Aufnahme bewegt hat, lassen sich die Standortdaten auch nach in „Flugzeug, Auto oder Zug“ aufgenommen Fotos filtern. Krause weist zudem darauf hin, dass einige Nutzer ihre Fotos über einen Zeitraum von mehreren Jahren hinweg auf ihrem iOS-Gerät speichern und die Bibliothek dabei sogar von einem iPhone auf ein anderes übertragen.

„Möchten Sie die Bewegungen ihrer Nutzer in den vergangenen Jahren erfahren, inklusive den Städten, die sie besucht haben, welche iPhones sie benutzt haben und wie sie reisen?“, heißt es in der Beschreibung der auf GitHub verfügbaren Open-Source-Version von DetectLocations. „Möchten Sie alle diese Daten in weniger als einer Sekunde? Dann ist dieses Projekt für Sie!“

Krause fordert nun, dass Apple die Berechtigungen von iOS überarbeitet und für Foto-Apps feiner gliedert. Seiner Ansicht nach sollte es separate Berechtigungen für das Speichern von Fotos (beispielsweise für Kamera-Apps) und das Auswählen von Fotos (beispielsweise für die Veröffentlichung in Sozialen Netzwerken) geben. Vollen Zugriff auf Fotos und Metadaten sollten ihm zufolge nur Dienste wie Dropbox oder Google erhalten, die ein vollständiges Backup der Bibliothek durchführen. Derzeit gebe es für alle Apps aber nur den vollständigen Zugriff.

Unklar ist, ob Krause Apple über seine Erkenntnisse informiert hat. Spätestens sollte das Unternehmen aus Cupertino aber über Krause im App Store eingereichte App DetectLocations von dem Problem erfahren haben. Ob die App dauerhaft im App Store verweilt oder von Apple verbannt wird, bleibt abzuwarten. Krause selbst zeigte sich auf Twitter überrascht, dass Apple seine App in den App Store aufgenommen hat.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.