Ein Hacker demonstrierte auf der Konferenz The Next HOPE vergangene Woche, wie er aus Tausenden Aufnahmen die exakten Geodaten aus den Metadaten der Aufnahmen extrahiert. Dafür scannte Ben Jackson über 2,5 Millionen Aufnahmen, die auf Twitter gepostet wurden. Er war dabei in der Lage, die genauen Längen- und Breitengrade zu ermitteln, von denen diese Aufnahme stammt.
Dabei habe diese Lokalisierung nichts mit den Geotagging-Services von Twitter oder vergleichbaren sozialen Netzen zu tun. Vielen Menschen sei dabei überhaupt nicht bewusst, welche Informationen sie über ihr Privatleben preisgeben. “Es ist ein Datenschutzfehler”, kommentiert der Sicherheitsforscher Ben Jackson von Mayhemic Labs.
In den jüngsten Generationen von Smartphones lassen sich Fotos mit Geotags versehen. In die Metadaten einer Aufnahme werden dann die Koordinaten des Ortes eingebettet, wo die Aufnahme entstand. Die Informationen aus diesen EXIF-Metadaten sind so präzise, dass damit zum Beispiel Adressen eines Hauses oder einer Wohnung ermittelt werden können.
Um auf diese Sicherheitslücke aufmerksam zu machen, haben die Mayhemic Labs die Webseite ICanStaklU.com entwickelt. Ein Pearl-Script sorgt für Foto-Beispiele aus Twitter, Twitpic, Yfrog oder Sexypeek und durchsucht die EXIF-Daten nach Geoinformationen. Wird das Script fündig, wandelt es die Breiten- und Längengrade in eine Adresse, oder einen Ortsnamen um, und publiziert diese Informationen auf ICanStalkU.com.
Rund 3 Prozent aller Bilder, die über Twitter und den assoziierten Foto-Diensten veröffentlicht würden, seien mit diesen Informationen versehen. iPhone und vergleichbare Smartphones verfügen über eine Einstellung, über die sich das Geotagging der Fotos unterbinden lässt. Doch längst nicht alle Nutzer haben diese Option aktiviert.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
View Comments
Es ist ein Feature, keine Sicherheitslücke
Die Geo-Informationen in Bildern mit abzulegen ist ein klar ausgewiesenes Feature, das explizit beworben wird und das die Anwender dann einschalten, wenn sie es für nötig halten.
Hier jetzt auf die Idee zu kommen, das dies ein Sicherheitsrisiko darstellt ist Effekt-Hascherei.
Sogar neue Digi-Cams mit GPS-Modul können das!
Das GPS-Modul wird hier extra deswegen in die Kameras eingebaut, damit dieses Feature zur Verfügung gestellt werden kann.
Welch ein Wahnsinn an Sicherheitsrisiko!
Und man stelle sich vor, welche Daten noch alles in Fotos abgelegt werden könnten.
Vielleicht ließe sich der Ort sogar anhand es Bildes selbst ermitteln. Nicht auszudenken, wenn jemand herausfinden würde, dass es am Timesquare aufgenommen wurde.
;-)
Captayne
egal ob Feature oder Sicherheitslücke
Ich finde es ist egal ob man es als Feature oder Sicherheitslücke bezeichnet.
Meiner Ansicht nach gehören solche Schicki-Micki-Funktionen in Handys oder Kameras per Voreinstellung abgeschaltet.
Wer die Funktion dann aktiviert ist für die Folgen verantwortlich.
Wer liest den heute noch Handbücher aufmerksam durch und denkt über jede mögliche Funktion gründlich nach?
Wenn man in einer Gruppe Menschen nach den Kontaktdaten fragt, damit die Gruppe untereinander kommunizieren kann, meldet sich garantiert einer der Bedenken hat. Aber Internet-Dienste und Gerätefunktionen die möglicherweise persönliche Daten enthalten werden ohne nachzudenken genutzt.
An "Captayne": schon mal daran gedacht, daß es Typen gibt die ein Interesse daran haben wo jemand wohnt, dessen Foto bei ihnen begehrliche Gefühle weckt?
Die Welt ist schlecht und die Fantasie bei vielen Menschen sehr begrenzt.
Warum benutzt Du z.B. ein Pseudonym?
Ich finde diese Features toll und nutze sie auch.
Bilder gebe ich sowieso nur dann frei, wenn nichts darauf zu sehen ist was ich nicht will dass es gesehen werden soll, ansonsten würde ich es nicht freigeben. Dazu gehören, wenn sie nicht sowieso schon aus dem Bild ersichtlich sind auch die Geodaten. Deshalb habe ich mir ja extra so etwas gekauft.
Wenn nun manche Leute mit solchen Features nicht umgehen können, bzw, überfordert sind, dann sollen sie die Finger davon lassen.
Jemand, der sein Leben lang einen alten VW gefahren hat, wird sich auch nicht einfach so in einen Ferrari setzen, oder auf eine Heijabusa.
Ach ja, übrigens ist im iPhone das Feature normalerweise abgeschaltet und wenn jemand dann zum ersten Mal Fotos macht wird er gefragt ob er die Ort-Daten preisgeben will. Das ist auch bei allen anderen Programmen im iPhone so.
Aus EXIF Adresse zuordnen
Unter
http://sourceforge.net/projects/geodress
gibt es ein Open-Source-Programm, das die Adressen aus EXIF-Daten auslesen kann. Dafür braucht man kein Hacker zu sein.
Unter
http://sourceforge.net/projects/geotag
findet man ein Programm, mit dem man nachträglich die EXIF-Daten von Fotos um GIS-Daten erweitern kann. Man braucht also keinen GPS-Tracker, -Empfänger oder Ähnliches, um die Fotos mit Geo-Informationen zu versehen.