iOS lækker brugers lokations-historik gennem billeders metadata

Proof-of-concept-app, der viser, hvordan brugers bevægelser kan mappes via metadata. Illustration:
En Apple-app med adgang til en iPhones billede-bibliotek, kan også aflæse, hvor billedet er taget.

Hvis en ioOS-app får tilladelse til at tilgå en iPhone-brugers billeder, kan appen frit læse billedernes metadata – herunder, hvor billedet er taget henne.

Det skriver The Register.

Læs også: Sådan tjekker du, hvilke apps der ikke vil fungere efter iOS 11-opdateringen

Adgang til metadata betyder derfor adgang til et komplet historik over, hvor brugeren har været og taget billeder, forklarer Felix Krause, der opdagede problemet og byggede en prototype, der udnytter adgangen, på under en time.

»Det er et seriøst privacy-problem, at en tredjeparts kamera-app, der bare skal gemme et billede, som brugeren tog, også vil få fuld adgang til alle billeder og deres lokation i billede-bibliotektet,« skriver Krause i sin bug-report.

Manøvren er simpel, understreger Krause. Følgende kode-stump returnerer alle lokationer på alle billeder.

PHFetchResult *photos = [PHAsset fetchAssetsWithMediaType:PHAssetMediaTypeImage options:nil];
for (PHAsset *asset in photos) {
    if ([asset location]) {
        // Access the full location, speed, full picture, camera model, etc. here
    }
}

Metadata tæller foruden lokation også camera-model, dato og tid og den fysiske hastighed, som kameraet bevægede sig med, da billedet blev taget.

I sin proof-of-concept-kode skriver Krause, at data kan bruges til at lure, hvor personen arbejder, samt hvilke byer og steder brugeren har besøgt, og om brugeren er flyttet for nyligt.

Læs også: IOS 11 sætter AR og machine learning i øjenhøjde

Der bør være en seperat tilladelse til at vælge et billede (som fx skal på Facebook) og til at give fuld adgang til biblioteket, skriver Krause yderligere på GitHub. I iOS 11 er der netop blevet introduceret en seperat tilladelse så apps, der bare skal gemme et billede, kan få den specifikke tilladelse.

Endelig kunne en alternativ tilgang være at have et ekstra lag af tilladelser for adgang til billeders metadata, foreslår Felix Krause.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Tietgen

Du kan faktisk ikke sige nej. Eller rettere, jeg har ikke fundet muligheden endnu. Har lige fået iphone firmamobil. Hver gang jeg tjekker den om morgenen, spørger den om tilladelse til at tilgå noget angående min billeder. Så jeg få muligheden "Tillad" eller "Tillad ikke".
Siger jeg "Tillad ikke", tja så spørger den bare imorgen igen. Siger jeg derimod "Tillad", tja, så er den glad og tilfreds og spørger aldrig mere. Så den chikanerer jo bare en, indtil man afleverer endnu en bid af sit privatliv.

  • 3
  • 1
Rasmus Bruun

Du kan faktisk ikke sige nej. Eller rettere, jeg har ikke fundet muligheden endnu.

Bliver den ved med at spørge, selvom du vælger "Aldrig" under Indstillinger > Anonymitet > Lokalitetstjenester > Kamera?

  • 1
  • 0
Mark Dinsen-Hansen

Det har sgu da ikke en disse med iOS at gøre!
Som @Pelle Gøeg skriver, så er det da fuldstændig det samme på Android.
Er træt af at folk skal være så Apple fjendske! Jeg er hverken Apple eller Android fanboy, så det har intet med det at gøre, men jeg synes der er en tendens i denne "nørd-verden", at Apple simpelthen er det værste, der er sket på denne jord.

  • 0
  • 0
Log ind eller Opret konto for at kommentere