Apple sieht kein Problem
iOS-Zwischenablage kann Ortsdaten preisgeben
Auch ohne mit der Berechtigung ausgestattet zu sein, auf die Ortungsdienste des iOS-Betriebssystems zugreifen zu dürfen, ist es den beiden Entwicklern des Software-Studios Mysk gelungen, Geodaten aus zuvor aufgenommenen Fotos abzugreifen.
Die Programmierer zapften dafür die iOS-Zwischenablage mit ihrer Demo-Applikation KlipboardSpy an. Die Idee: Sobald ein Anwender eines seiner Fotos zur weiteren Bearbeiten oder Freigabe in die iOS-Zwischenablage kopiert, könnte eine böswillige App die zugehörigen Geodaten extrahieren und „nach Hause“ übermitteln.
Eine theoretische Sicherheits- bzw. Datenschutz-Schwachstelle, die das Mysk-Team bereits Anfang Januar an Apple übermittelte. Doch der Konzern zucket mit den Schultern – oder, um es mit den Worten der Mysk-Entwickler zu sagen: „Nach der Analyse der Einreichung teilte uns Apple mit, dass sie kein Problem mit dieser Schwachstelle sehen.“
Eine Einschätzung die man bei Mysk nicht teilt. In ihrem jetzt veröffentlichtem Blogeintrag „Präzise Standortinformationen, sickern durch die Zwischenablage durch“ haben die Entwickler das Problem jetzt detailliert geschildert, in einem Video visualisiert und unter iOS 13.3 demonstriert.
Die Zwischenablage in iOS und iPadOS bietet eine bequeme Methode, um Inhalte zwischen verschiedenen Apps auszutauschen. Die Benutzer sind sich oft der Tatsache nicht bewusst, dass die im Pasteboard gespeicherten Inhalte nicht nur für die Apps, mit denen sie Daten austauschen wollen, sondern für alle installierten Apps zugänglich sind.
[…] Wir haben KlipboardSpy entwickelt, um ein Szenario zu demonstrieren, das bösartige Anwendungen ausnutzen können, um Zugang zu genauen Standortinformationen der Benutzer zu erhalten, indem sie einfach die GPS-Eigenschaften eines in der Zeichenfläche hinterlassenen Fotos auslesen.