... und ihr bekommt es nicht mal mit

Leise, still und heimlich: Schwachstelle ermöglicht iOS-Apps Kameranutzung

Geschätzte Lesezeit: ca. 2 Minuten

Foto von Dennie Beneke

von Dennie Beneke (@debeneke)-

Ausgangpunkt kann ein einfaches Profilfoto sein - Schwachstellen in den Kameraberechtigungen sollen es iOS-Apps ermöglichen, ohne Wissen des Nutzers Aufnahmen über die Vorder- und Rückseite aufzunehmen. Die Folge: Selbst Live-Streams und Gesichtserkennung sind denkbar, in denen die Stimmung des Nutzers aufgezeichnet wird.

Die Sache mit der Technik ist ja nie ganz so einfach: Auf der einen Seite will man das Smartphone mit notwendigen, wichtigen oder einfach nur unterhaltsamen Apps bestücken. Denn wenn man schon Mini-Computer, High-End-Pixel-Kamera und Telefon in seiner Hosentasche vereint weiß, warum dann nicht auch dementsprechend nutzen?

Wenn sich jetzt auf der anderen Seite ein österreichischer Entwickler zu Wort meldet und eine Sicherheitslücke aufdeckt, die es iPhone-Apps ermöglichen soll, mit der Smartphone-Kamera ihr Unwesen zu treiben, sieht die Sache mutmaßlich etwas anders aus. Einmal die Nutzungsbedingungen akzeptiert, schon drückt man den App-Anbietern quasi die digitale Türklinke in die Hand und lässt die Haustür sperrangelweit offen, in der Annahme: "Der kommt schon nicht rein!"

iOS-Apps erhalten viel zu umfangreiche Kameraberechtigungen

So oder so ähnlich beschreibt Felix Krause, Startup-Gründer und Forscher bei Google, in seinem Blog-Post die Schwachstelle in den iOS-Kameraberechtigungen, die nach seiner Auffassung zudem sowieso viel zu umfangreich ausfallen. Mit einem einzigen Klick wird es Apps erlaubt, ohne das Wissen des Nutzers deren Smartphone-Kamera im Hintergrund auszuführen – also Fotos zu schießen, zu filmen und die Aufnahmen im Anschluss zu versenden.

Have you ever used a social media app while using the bathroom?

Felix Krause

Apps ergattern oft vollumfängliche Zugriffsberechtigungen auf die Kamera, obwohl diese selbst nur für simple, kurzweilige Tätigkeiten - wie dem Anlegen eines Profilbilds – benötigt werden. Selbst unbemerkte Live-Streams sind auf diese Weise vorstellbar, während ihr an eher unpässlichen Orten euren "Geschäften" nachgeht. "Have you ever used a social media app while using the bathroom?" fragt Krause eingangs seines Blog-Posts, wohlwissend, dass dieser Umstand reichlich Unwohlsein auslöst, wenn man diesem Gedankengang etwas Raum gibt.

Klebt eure Kamera ab!

Während Krause zahlreiche Beispiele aufführt, weshalb App-Hersteller überhaupt ohne euer Wissen auf die Kamera zugreifen sollten – unter anderem, um eure Reaktionen auf App-Inhalte und News zu scannen, Eyetracking durchzuführen oder Fotos an anderer Stelle im Netz zu verwenden – sind seine Vorschläge zum Schutz weitaus pragmatischer: Klebt eure Kamera ab, denn durch den Sichtschutz kann keine App aufnehmen. Außerdem sieht er Apple in der Pflicht, seine Nutzer besser zu schützen – beispielsweise, in dem das LED-Lämpchen leuchtet, wenn die Kamera aktiv ist oder eine zeitlich begrenzte Kameranutzung für Apps einzurichten.

In seinem nachfolgenden YouTube-Video führt er seine selbstentwickelte Demo-App 'watch.user' vor, mit der anschaulich darstellt, wie Software mithilfe dieser Schwachstelle in der Lage ist, sowohl Augen, Nase und Mund zu erkennen - also die Stimmung abzuleiten.

Hier erfährst du mehr über: iOSDatenschutz und Sicherheit

Sag uns deine Meinung!