iOS-Lücke gibt App-Entwicklern ungefragt Zugriff auf Fotos

Big DataData & StorageMobileMobile OSPolitikRechtSicherheitSicherheitsmanagement

Eine iOS-Funktion, die Anwendungen den Standort des Nutzers ermitteln lässt, ermöglicht diesen Apps aufgrund eines Sicherheitslecks auch heimlichen Zugriff auf die komplette Foto-Bibliothek.

Das Bits Blog der New York Times beschreibt, wie sich Angreifer die persönlichen Grafiken und Fotos, die auf dem iPhone oder iPad lagern, heimlich herunterladen können.


Verlangt eine iOS-Anwendung Zugriff auf GPS-Informationen, zeigt sie in der Regel ein Dialogfenster an, in dem der Nutzer den Vorgang mit einem Klick auf OK bestätigen muss. Sollte er dies tun, könnten Entwickler aber auch Fotos – inklusive GPS-Metadaten – auf einen Server kopieren, ohne dass der Anwender etwas davon mitbekommt, heißt es in dem Bericht.

Noch sei »unklar«, ob irgendein Programm aus Apples App Store die Schwachstelle ausnutze. Mit einer nicht veröffentlichten Test-Anwendung eines anonymen iOS-Entwicklers sei es aber möglich gewesen, Nutzer-Fotos mithilfe der Dialogoption auf einen Server hochzuladen. Die Hintertür stehe seit 2010 mit der Einführung von iOS 4.0 offen. Das Betriebssystem-Update brachte neben Multitasking auch die Ortungsfunktion.

Apple wollte den Bericht nicht kommentieren. Wie The Verge unter Berufung auf “mit der Situation vertraute Quellen” meldete, wird das Problem voraussichtlich mit einem kommenden iOS-Update behoben. Möglicherweise stellt Apple den Fix zusammen mit einem Patch für die kürzlich entdeckte Sicherheitslücke bereit, die Anwendungen das heimliche Auslesen des Adressbuchs und die Weiterleitung der Kontaktdaten an den Server des App-Entwicklers ermöglicht.

Laut Apple verstoßen Apps für iPhone und iPad, die ungefragt Daten auslesen, gegen seine Richtlinien für iOS-Entwickler. Eine aktualisierte Version des Mobilbetriebssystems soll diese offenbar gängige Praxis verhindern. Einen Termin für das Update hat Apple noch nicht genannt.

Erst vergangene Woche hatten sich die Anbieter der sechs größten App Stores in einer Übereinkunft mit dem kalifornischen Justizministerium zu mehr Datenschutz bei mobilen Apps verpflichtet. Apple, Google, Microsoft, Amazon, Hewlett-Packard und Research In Motion verlangen ab sofort von den Entwicklern, entsprechende Datenschutzmechanismen in den Apps zu integrieren. So soll der Nutzer schon vor dem Download darüber informiert werden, auf welche Daten die App zugreift und was sie damit macht. Bei Verstößen gegen die neuen Richtlinien drohen Entwicklern Geldstrafen von bis zu 500.000 Dollar.

Das Abkommen zwischen dem Justizministerium und den App-Store-Betreibern schafft zwar Transparenz, schützt aber nicht die Privatsphäre. Es werden weiterhin Daten erhoben. Der Anwender wird lediglich darüber informiert, welche Daten von der jeweiligen App genutzt werden. Will er die App verwenden, muss er die Datenerhebung wohl oder übel akzeptieren.

Für einen Schutz der Privatsphäre müsste man eine Kontrolle über die von der App erhobenen Daten haben. Diese Möglichkeit steht Anwendern offen, die ihr iPhone oder iPad gejailbreakt haben. Der Tweak aus dem Cydia Store »Protect my Privacy (PMP)«informiert Nutzer darüber, auf welche Daten eine App zugreift. Dazu zählen die eindeutige Geräte-ID, Kontakte und Standortdaten. Darüber hinaus kann PMP diesen Zugriff verhindern beziehungsweise “falsche” Daten an die App übermitteln, sodass die Privatsphäre des Nutzers gewahrt bleibt.

[mit Material von Josh Lowensohn, News.com]