SIKKERHET

iOS lekker brukernes bevegelser til tredjeparts apper

Apper som har tilgang til bildearkivet på iPhone kan også se hvor bildet er tatt.

Proof-of-concept-app som viser hvordan brukerens bevegelser kan mappes via metadata i bildene.
Proof-of-concept-app som viser hvordan brukerens bevegelser kan mappes via metadata i bildene. Bilde: Felix Krause
Magnus Boye, <a href="https://version2.dk/">version2.dk</a>
29. sep. 2017 - 06:00

Hvis en iOS-app får tillatelse til å få tilgang til en iPhone-brukers bilder, kan appen fritt lese bildenes metadata – som også inkluderer hvor bildet er tatt. Det skriver The register.

Adgang til metadata betyr derfor adgang til en komplett historikk over hvor brukeren har vært og tatt bilder, forklarer Felix Krause, som oppdaget problemet og på under en time lagde en prototyp på et program som utnytter denne adgangen.

– Det er et alvorlig personvernproblem at en tredjeparts kamera-app, som bare skal lagre et bilde som brukeren tok, også vil få full adgang til alle bilder og deres lokasjon i bildebiblioteket, skriver Krause i sin bug-rapport.

Det er enkelt å utnytte dette, understreker Krause. Følgende kodesnutt returnerer alle lokasjoner på alle bilder: 

PHFetchResult *photos =
[PHAsset fetchAssetsWithMediaType:PHAssetMediaTypeImage options:nil]; for (PHAsset *asset in photos) { if ([asset location]) { // Access the full location, speed, full picture, camera model, etc. here } }


Metadata forteller foruten lokasjon også kameramodell, dato, tid og den fysiske hastighet som kameraet beveget seg med da bildet ble tatt.

I sin proof-of-concept-kode skriver Krause at data kan brukes til å finne ut hvor personen arbeider, samt hvilke byer og steder brukeren har besøkt, og om brukeren nylig har flyttet.

Det bør være en separat tillatelse til å velge et bilde (som for eksempel skal på Facebook) og til å gi full adgang til biblioteket, skriver Krause på Github. I iOS 11 er det nettopp blitt introdusert en separat tillatelse så apper som bare skal lagre et bilde kan få en spesifikk tillatelse til kun dette.

En alternativ tilgang kunne være å ha et ekstra lag med tillatelser for adgang til bilders metadata, foreslår Krause.

Les også: iOS 11 åpner for bedre AR og maskinlæring (version2.dk)

Artikkelen ble først publisert på Version2.dk

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.