iPhone-App DetectLocations zeigt Datenschutzproblem bei Apples iOS

Die App sieht harmlos aus, und demonstriert eine gefährliche Schwachstelle. SCREENSHOT: ITUNES.APPLE.COM

Was deine iPhone-Fotos (ungewollt) über dich verraten

Die Gratis-App «DetectLocations» saugt Metadaten aus iPhone-Fotos und zeigt, welche Hintertür bei Apples mobilem Betriebssystem iOS offen steht.

Daniel Schurter

Daniel Schurter

Folge mirEntfolgen

Mehr «Digital»

Das passiert, wenn du bei der Google-Bildersuche «Idiot» eingibst ...

Jup, Nokia hat das Banana-Phone aus «Matrix» zurückgebracht – aber erwarte …

Er hat den Windows-Konzern heruntergefahren und neu gebootet – nun bricht er …

Diese Docking-Station verwandelt dein Surface Pro in ein Mini-Surface-Studio

Diese 11 Schweizer Seen musst du diesen Sommer unbedingt besuchen

7 Rezepte für Eis am Stiel, die du ganz einfach selber zaubern kannst

Meistgelesen

1

Hat die Queen gerade Trump getrollt? Diese Bloggerin ist davon absolut überzeugt

2

Basel verliert gegen den FCSG: «Haben uns nicht viel vorzuwerfen» – Xamax …

3

«Ist doch witzig» – Kellner in Rom beleidigt schwules Paar auf der Quittung

Alle iPhone-User tun es, doch die wenigsten sind sich bewusst, welche Folgen ein Klick auf «OK» haben kann.

bild: watson

Mit der im App Store verfügbaren Gratis-App «DetectLocation» findet man heraus, was die eigenen Fotos verraten. Entwickelt hat sie der österreichische iOS-Experte Felix Krause, der früher bei Twitter arbeitete und nun für Google tätig ist.

Ich mache die Probe aufs Exempel und installiere die kleine Anwendung (0,4 Megabyte) auf meinem iPhone.

Keine Sekunde später erscheint dieser Screen:

screenshot: watson

Die App hat in 0,62 Sekunden auf 8077 «Standorte» zugegriffen. Das sind Standorte, an denen ich mich in den letzten Jahren aufhielt und mindestens ein Foto mit dem iPhone knipste.

Bei der folgenden Auswertung zeigt die App ziemlich genau an, wo ich in den letzten Jahren hingeflogen (und hingefahren) bin ...

screenshot: watson

Eher skurril ist die Erkenntnis, dass ich mein schnellstes Foto bei Tempo 524 km/h über Deutschland schoss...

Wenn das iPhone ein Foto schiesst, speichert es in der Bilddatei eine Vielzahl von aktuellen Informationen (EXIF) ab. Anhand der Metadaten lässt sich erschreckend viel herausfinden.

Hintertür schliessen!

Beunruhigend: Alle Apps, die auf die Fotomediathek des iPhones zugreifen dürfen, könnten blitzschnell alle EXIF-Daten zu den gespeicherten Bildern auslesen (und auswerten):

• Die exakte Position des iPhones (GPS).
• Wie schnell das iPhone unterwegs war.
• Das genaue Kamera- respektive Handy-Modell.
• Und und und.

Felix Krause betont, dass er seine App als «Proof of Concept» veröffentlicht habe, um auf eine Schwachstelle in Apples mobilem Betriebssystem aufmerksam zu machen. Ihm gehe es darum, dass die Hintertür geschlossen und der Datenschutz verbessert werde. Die User sollten bessere Kontrolle über die Bilder-Metadaten erhalten. Denn mit den gespeicherten Informationen liessen sich ziemlich private Dinge herausfinden, wie:

• Reisen und Auslandaufenthalte.
• Der Arbeitsort und Orte, wo man übernachtet.
• Die eigenen (zum Fotografieren verwendeten) Geräte.

Was nun?

In der Einstellungen-App > Datenschutz > kann man kontrollieren, welche Apps auf die Fotos etc. zugreifen dürfen. Aber ...

Das Dilemma: Wenn ich zum Beispiel WhatsApp den Zugriff auf meine Fotomediathek gestatte, weil ich in Gruppenchats Bilder posten möchte, dann kann ich nicht verhindern, dass die Facebook-Tochter auch alle Metadaten abgreift.

In seinem Github-Projekt zur «DetectLocations»-App schlägt Felix Krause vor, dass es bei den sensiblen User-Daten (wie eben EXIF-Daten) separate Zugriffsrechte bräuchte. Sprich: Apple sollte das System der iOS-Berechtigungen verfeinern.

Krause hat gestern Mittwoch über das Fehlermelde-Werkzeug Open Radar einen entsprechenden Antrag formuliert.

Apples Position

Apple hat kürzlich seine Webseite zum Datenschutz aktualisiert. Dort heisst es: «Wir verlangen von App-Entwicklern, dass sie strengen Richtlinien zum Schutz deiner Daten zustimmen. Wenn wir erfahren, dass eine App gegen diese Richtlinien verstösst, muss der Entwickler das Problem lösen oder die App wird aus dem App Store entfernt. Wenn eine App, die du auf deinem Gerät installiert hast, auf deine persönlichen Daten wie Fotos oder Kontakte zugreifen möchte, wirst du immer zuerst um Erlaubnis gefragt. Du kannst diese Zugriffsrechte jederzeit ändern.» Das ungelöste Problem: Man kann Apps den Zugriff auf die Fotomediathek nur erlauben oder verweigern, differenzierte Zugriffsrechte gibts (noch) nicht.

PS: Wer vor dem Teilen von iPhone-Fotos die EXIF-Daten entfernen will, kann dies zum Beispiel mit der ViewEXIF-App tun. In diesem älteren Beitrag von CNET wird erklärt, wie's geht.

Das könnte dich auch interessieren:

So schaltest du die versteckte Karte auf deinem iPhone aus

Video: watson/Lya Saxer

Hol dir die App!

watson
News Charly Otherman, 5.5.2017
Watson kann nicht nur lustig! Auch für Deutsche (wie mich) ein Muss, obwohl ich das schweizerische nicht immer verstehe.

49

Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!

Die beliebtesten Leser-Kommentare

• ben_fliggo 28.09.2017 20:46

  Highlight @Schurter:
  Ein Workaround für Whatsapp & co auf iOS: Zugriff auf Photos für App deaktivieren, teilen eines Fotos dann via Share-Icon in der von Photos App. So wird das Bild in der App geöffnet, ohne dieser Zugriff auf alle Fotos gewähren zu müssen.

  34 0 Melden

  Grund

  • @schurt3r 29.09.2017 08:18

    Highlight Sehr gut, danke.

    10 0 Melden

    Grund
• Charlie Brown 28.09.2017 18:17

  Highlight Spannend. Was passiert, wenn ich mit dem iPhone ein Foto in den Kommentaren bei watson hochlade; gehen da die Metadaten auch mit? Und sind die dann für versierte user der Plattform greifbar oder nur für watson?

  27 2 Melden

  Grund

  • @schurt3r 28.09.2017 19:24

    Highlight Danke für die Frage.
    Reiche ich gleich an unsere IT-Leute weiter ;-)

    9 0 Melden

    Grund
  • ARoq 28.09.2017 19:25

    Highlight Wenn du ein Foto hochlädst, kann ich es dir sagen ...
    Die GPS-Koordinaten sind in den EXIF-Daten der Fotos gespeichert und lassen sich von jedermann auslesen. Ich finde diese oft in Fotos von Freunden oder auch bei Fotos in Internetforen, allerdings nur wenn die Fotos unverändert sind, z.B. wenn ich sie per E-Mail erhalte, bei manchen Imagehoster oder über Cloud-Dienste.
    Facebook beispielsweise schneidet die EXIF-Daten weg. Ich nehme an die Metadaten gehen bei der Konvertierung bei Watson auch verloren.

    7 0 Melden

    Grund
  • riqqo 28.09.2017 21:21

    Highlight @helios: Facebook entfernt die Daten? Trotzdem liest Facebook diese aus, er schlägt dir ja den Aufnahmeort und die Zeit beim Beitrag vor...

    3 0 Melden

    Grund
  • Sauäschnörrli 29.09.2017 00:24

    Highlight @riqqo, wahrscheinlich entfernt Facebook die Daten aus dem Bild, da es sie in eine Datenbank speichert die einfacher ausgelesen werden kann/könnte. Da wäre es Verschwendung von Speicherplatz, diese im Foto zu belassen.

    0 2 Melden

    Grund
  • Yannik Tschan 29.09.2017 09:38

    Highlight Lieber @Charlie Brown
    
    Wenn du in den Kommentaren ein Bild mit Metadaten uploadest, kommst es natürlich auch mit den Metadaten an. Bei der Verarbeitung zur Auslieferung werden diese aber entfernt. Einzig Werte wie Höhe, Breite, etc. werden verwendet.

    3 0 Melden

    Grund
  • ARoq 29.09.2017 09:47

    Highlight @Riqqo:
    Die Daten kommen natürlich bei Facebook an, werden aber bevor das Bild veröffentlicht wird von der Bilddatei entfernt. Dass Facebook die Metadaten behält ist selbstredend.

    1 0 Melden

    Grund
  • Charlie Brown 29.09.2017 09:58

    Highlight Lieber Yannik, besten Dank für die Info.

    0 0 Melden

    Grund
• G.Oreb 28.09.2017 20:21

  Highlight Das ist alles korrekt so. War ja schon immer so, viel mehr aber würde mich interessieren:
  
  Wenn ich bei Whatsapp ein Foto verschicke, werden die Exif mitgeschickt?
  
  Dem Artikel nach scheint es bei Android ja nicht so zu sein. Wie wurden da die diffenrenzierbaren Zugriffsrechte implementiert?
  
  PS: Meine Oma hat das vor 50 Jahren schon gemacht. Hinten auf jedem entwickelten Foto hat sie Datum und Ort notiert 🙂

  21 3 Melden

  Grund

  • G.Oreb 02.10.2017 09:51

    Highlight @schurt3r gibts noch eine Antwort dazu?
    
    @SilentSpeaker Ja. Mache ich. Das Bewegungsprofil von FB kann keiner mit dem ich kommuniziere einsehen, die Exif der Bilder die ich jemandem schicke schon. Das BigBrother Problem kann ich nicht verhindern, bei heiklen Fotos die Exif wegstrippen bevor ichs schicke allerdings schon. Deshalb die Frage. Auch bei iMessage würds mich interessieren :)

    0 0 Melden

    Grund
  • @schurt3r 02.10.2017 10:09

    Highlight Geduld ist eine Tugend! ;-)
    
    Also: Beim Versenden von Fotos via WhatsApp werden die EXIF-Daten entfernt. Habs grad getestet.

    0 0 Melden

    Grund

49Alle Kommentare anzeigen

Alle Leser-Kommentare

• Theiss 29.09.2017 13:14

  Highlight “It took 0.79s to access 0 locations”... Eigentlich sollte ich ja froh sein über dieses Resultat, bin gleichzeitig aber enttäuscht weil ich gerne meine eigene Fotomap gehabt hätte🙈

  1 1 Melden

  Grund
• DasMarc_ 29.09.2017 08:21

  Highlight Das ganze ist so genau, dass man sogar den Anflug auf nen Flughafen, in meinem Fall auf Los Angeles, komplett nachsehen kann. Erschreckend, aber faszinierend.

  5 2 Melden

  Grund

  • Sir Jonathan Ive 29.09.2017 12:08

    Highlight So faszinierend ist das mittlerweile schon gar nicht mehr.
    Das System das dazu verwendet wird (GPS) ist schon über 40 Jahre alt.

    3 3 Melden

    Grund
• ben_fliggo 28.09.2017 20:46

  Highlight @Schurter:
  Ein Workaround für Whatsapp & co auf iOS: Zugriff auf Photos für App deaktivieren, teilen eines Fotos dann via Share-Icon in der von Photos App. So wird das Bild in der App geöffnet, ohne dieser Zugriff auf alle Fotos gewähren zu müssen.

  34 0 Melden

  Grund

  • @schurt3r 29.09.2017 08:18

    Highlight Sehr gut, danke.

    10 0 Melden

    Grund
• URSS 28.09.2017 20:25

  Highlight Ja was nun?
  Soll ich jetzt mein ok nicht mehr geben wenn eine App fragt ob sie zugreifen darf?
  Andererseits, ist es mir eigentlich egal ob irgendwer meine Daten absaugt.
  Da ich kein Mörder bin oder ein Stalker, nun, was soll’s.
  Oder bin ich zu naiv?

  17 65 Melden

  Grund

  • Sharkdiver 28.09.2017 21:09

    Highlight Zu naiv weil erstens man so manipulierbar wird und 2. ältere Semester können sich noch gut an die fischenafäre erringen und das war noch harmlos da gabs die heutigen Möglichkeiten noch nicht. Und in einem Land wo jemand wie Erdogan oder Putin regiert kann so was auch mal in die Hosen gehen

    40 3 Melden

    Grund
  • Electric Elefant 28.09.2017 23:06

    Highlight @URSS: Um es kurz zu machen und auf Deine Frage zu antworten: Definitiv!

    18 2 Melden

    Grund
• G.Oreb 28.09.2017 20:21

  Highlight Das ist alles korrekt so. War ja schon immer so, viel mehr aber würde mich interessieren:
  
  Wenn ich bei Whatsapp ein Foto verschicke, werden die Exif mitgeschickt?
  
  Dem Artikel nach scheint es bei Android ja nicht so zu sein. Wie wurden da die diffenrenzierbaren Zugriffsrechte implementiert?
  
  PS: Meine Oma hat das vor 50 Jahren schon gemacht. Hinten auf jedem entwickelten Foto hat sie Datum und Ort notiert 🙂

  21 3 Melden

  Grund

  • G.Oreb 02.10.2017 09:51

    Highlight @schurt3r gibts noch eine Antwort dazu?
    
    @SilentSpeaker Ja. Mache ich. Das Bewegungsprofil von FB kann keiner mit dem ich kommuniziere einsehen, die Exif der Bilder die ich jemandem schicke schon. Das BigBrother Problem kann ich nicht verhindern, bei heiklen Fotos die Exif wegstrippen bevor ichs schicke allerdings schon. Deshalb die Frage. Auch bei iMessage würds mich interessieren :)

    0 0 Melden

    Grund
  • @schurt3r 02.10.2017 10:09

    Highlight Geduld ist eine Tugend! ;-)
    
    Also: Beim Versenden von Fotos via WhatsApp werden die EXIF-Daten entfernt. Habs grad getestet.

    0 0 Melden

    Grund
• Nosgar 28.09.2017 19:04

  Highlight Geschieht das auch, wenn die Ortungsdaten bei der Foto-App ausgeschaltet sind?

  14 1 Melden

  Grund

  • @schurt3r 28.09.2017 19:31

    Highlight Nein. Wenn zu einem Foto keine Standort-Daten gespeichert werden, gibt es nichts zu finden.
    
    Aber das Problem ist ja, wie im Artikel geschildert, ein anderes: Felix Krause schlägt vor, die Zugriffsrechte bei Bildern weiter zu verfeinern...

    13 3 Melden

    Grund
• derEchteElch 28.09.2017 18:45

  Highlight Hallo Watson,
  Wenn ich beim Datenschutz die Ortungsdienste für Kamera und Fotos deaktiviere, werden keine Positionsdaten in den EXIF-Daten gespeichert.
  
  Die App fand bei mir nur 29 Standorte trotz 2000 Fotos. Die kommen von Apps wie Instagram oder Twitter, wo ich Bilder und Standort teilte.
  
  Wäre erwähnenswert im Artikel 😉
  
  Liebe Grüsse vom Elch
  
  

  19 4 Melden

  Grund

  • @schurt3r 28.09.2017 19:33

    Highlight Danke, lieber Elch.
    Das ist schon so, aber ich will ja die Positionsdaten bei meinen Fotos. Sind ziemlich praktisch.
    
    Ich möchte nur nicht, dass Dritt-Apps alle entsprechenden Metadaten aus meiner Fotomediathek auslesen können.

    38 7 Melden

    Grund
  • derEchteElch 28.09.2017 20:06

    Highlight Da hast du natürlich recht. In diesem Fall hilft nur Krauses Vorschlag.

    19 2 Melden

    Grund
  • John Joe 29.09.2017 16:16

    Highlight EchterElch, dein Input ist definitiv relevant. Ich verstehe die "Obsession" mit diesen Geolokationsdaten nicht. Wieso muss mein Iphone diese Daten überhaupt speichern? Ich sollte doch wissen wo ich ein bestimmtes Foto aufgenommen habe. Ich habe die Ortungsdienste für Fotos noch nie aktiviert und bisher auch nie vermisst. Remember: Der einzige Weg, Silicon-Valley-Firmen vom Gebrauch persönlicher Daten abzuhalten ist, diese Daten gar nicht erst zu erfassen. Alles andere ist höchst naiv...

    2 2 Melden

    Grund
• Reto König 28.09.2017 18:45

  Highlight Ein gutes OS ist für mich eines, welches mir die Möglichkeit gibt, meinen Datenschutz selber zu konfigurieren. In iOS fragt Fotos beim erstmaligen Starten ob es auf deinen Standort zugreifen darf. Auch nachher kann diese Einstellung jederzeit mit nur 4 Bildschirmberührungen (für zukünftige Bilder) vorgenommen werden.
  
  Ich finde den Artikel deshalb etwas gar einseitig und negativ gegenüber Apple.
  
  Meiner Meinung nach müssten die Benutzer die Meldungen etwas genauer lesen und sich auch persönlich um den eigenen Datenschutz kümmern. Die tägliche Angstmacherei finde ich den falschen Ansatz.

  15 16 Melden

  Grund

  • @schurt3r 28.09.2017 19:36

    Highlight Genau, bin deiner Meinung.
    Also nicht wegen des «gar einseitigen Artikels» :)
    
    Man sollte die Datenschutz-Einstellungen weiter verfeinern. Felix Krause formulierts so:
    
    There should be a clear separation of
    
    - `Saving a photo` (e.g. a 3rd party camera app wants to save a photo you just took)
    - `Selecting a photo` (e.g. you want to upload an existing picture to Instagram)
    - `Granting full access to the photo library

    10 1 Melden

    Grund
  • DailyGuy 28.09.2017 19:46

    Highlight Schurter ist tendenziell Apple kritisch. Daran habe ich mich schon gewöhnt.
    
    Jedoch gebe ich recht, dass die Datenschutzeinstellungen besser angepasst werden müssen. Dabei darf aber die Usability nicht vergessen werden. Ich wage zu behaupten, dass 70-80 Prozent nur Zugriff geben wollen auf die Fotos. Dabei wollen sie sich nicht mit solchen Begriffen auseinandersetzen. Und dann geben sie dem App nicht genug rechte, und zack funktioniert das App nicht mehr wie gewollt. Das kommt sehr schlecht an. Mehr Einstellungen ja, aber es ist nicht so einfach wie beschrieben.

    5 12 Melden

    Grund
  • @schurt3r 28.09.2017 20:07

    Highlight @DailyGuy:
    Hey, als Journalist muss ich kritisch sein.
    
    Ich schreibe aber auch, wenn mich ein Produkt – von wem auch immer – überzeugt/begeistert ;-)
    
    PS: Apple ist aus meiner Sicht Technologie-Führer bei den Smartphone-Herstellern, da darf man besonders hohe Anforderungen stellen.

    18 17 Melden

    Grund
• zeromg 28.09.2017 18:28

  Highlight Was ist daran so erschreckend? Jede neuere Spiegelreflexkamera speichert META Daten zum Foto ab inkl. GPS Koordinaten. Darum gibt es auch Programme die diese Daten löschen wenn man diese Daten nicht weiter geben will. Aber was hat dieser Artikel jetzt speziell mit dem iPhone zu tun?

  14 42 Melden

  Grund

  • ml63 28.09.2017 18:43

    Highlight Meine Spiegelreflexkamera hat aber keinen Internetzugang. Der Vergleich passt nicht ganz.

    21 2 Melden

    Grund
  • DailyGuy 28.09.2017 18:45

    Highlight Dies ist genau so. Bei jedem Android-Gerät ist dies auch so.
    Natürlich nicht optimal, und sicherlich auch keine schöne Sache, sollte aber eine App diese Daten missbrauchen, ist diese App sowieso nicht gut.

    8 2 Melden

    Grund
  • @schurt3r 28.09.2017 19:21

    Highlight Erschreckend ist dein Kommentar ;-)
    
    PS. Steht alles im Artikel...

    17 5 Melden

    Grund
  • Binnennomade 29.09.2017 00:22

    Highlight Haben Facebook, Google und andere App-Entwickler Zugriff auf deine Spiegelreflexkamera? Oder auf deine Festplatte, wo du sie abspeicherst? Eben.

    2 0 Melden

    Grund
• Gegu 28.09.2017 18:22

  Highlight lieber Daniel Schurter
  reisen geht auch ökologisch, überdenk doch mal dein Flugverhalten...

  40 46 Melden

  Grund

  • Nosgar 28.09.2017 19:03

    Highlight Ich hab doch gewusst, dass schon wieder so ein peinlicher Flugkommentar da sein muss. Wir wissen's langsam: Fliegen = sehr, sehr böse.

    24 18 Melden

    Grund
  • @schurt3r 28.09.2017 19:22

    Highlight ...

    

    33 10 Melden

    Grund
  • Sir Jonathan Ive 29.09.2017 12:20

    Highlight @real oz
    Zugegeben, nach Norditalien zu fliegen ist natürlich nicht dringend nötig und sollte wenn möglich vermieden werden.
    In die USA ist aber gar keine andere Möglichkeit da. Ein Zug fährt da nicht hin und das Schiff ist noch schlimmer auf den ökologischen Fußabdruck.

    0 0 Melden

    Grund
• Charlie Brown 28.09.2017 18:17

  Highlight Spannend. Was passiert, wenn ich mit dem iPhone ein Foto in den Kommentaren bei watson hochlade; gehen da die Metadaten auch mit? Und sind die dann für versierte user der Plattform greifbar oder nur für watson?

  27 2 Melden

  Grund

  • @schurt3r 28.09.2017 19:24

    Highlight Danke für die Frage.
    Reiche ich gleich an unsere IT-Leute weiter ;-)

    9 0 Melden

    Grund
  • ARoq 28.09.2017 19:25

    Highlight Wenn du ein Foto hochlädst, kann ich es dir sagen ...
    Die GPS-Koordinaten sind in den EXIF-Daten der Fotos gespeichert und lassen sich von jedermann auslesen. Ich finde diese oft in Fotos von Freunden oder auch bei Fotos in Internetforen, allerdings nur wenn die Fotos unverändert sind, z.B. wenn ich sie per E-Mail erhalte, bei manchen Imagehoster oder über Cloud-Dienste.
    Facebook beispielsweise schneidet die EXIF-Daten weg. Ich nehme an die Metadaten gehen bei der Konvertierung bei Watson auch verloren.

    7 0 Melden

    Grund
  • riqqo 28.09.2017 21:21

    Highlight @helios: Facebook entfernt die Daten? Trotzdem liest Facebook diese aus, er schlägt dir ja den Aufnahmeort und die Zeit beim Beitrag vor...

    3 0 Melden

    Grund
  • Sauäschnörrli 29.09.2017 00:24

    Highlight @riqqo, wahrscheinlich entfernt Facebook die Daten aus dem Bild, da es sie in eine Datenbank speichert die einfacher ausgelesen werden kann/könnte. Da wäre es Verschwendung von Speicherplatz, diese im Foto zu belassen.

    0 2 Melden

    Grund
  • Yannik Tschan 29.09.2017 09:38

    Highlight Lieber @Charlie Brown
    
    Wenn du in den Kommentaren ein Bild mit Metadaten uploadest, kommst es natürlich auch mit den Metadaten an. Bei der Verarbeitung zur Auslieferung werden diese aber entfernt. Einzig Werte wie Höhe, Breite, etc. werden verwendet.

    3 0 Melden

    Grund
  • ARoq 29.09.2017 09:47

    Highlight @Riqqo:
    Die Daten kommen natürlich bei Facebook an, werden aber bevor das Bild veröffentlicht wird von der Bilddatei entfernt. Dass Facebook die Metadaten behält ist selbstredend.

    1 0 Melden

    Grund
  • Charlie Brown 29.09.2017 09:58

    Highlight Lieber Yannik, besten Dank für die Info.

    0 0 Melden

    Grund