Geodaten

23. Juli 2010 11:14; Akt: 23.07.2010 14:55 Print

Wo wohnt diese unbekannte Schönheit?

von Henning Steier - Nicht nur Paparazziträume werden wahr: Zwei Forscher zeigen, wie sich mit einfachen Mitteln Nutzer von Twitter, YouTube, Flickr und Craigslist ausspionieren lassen.

storybild

PicFog.com ist eine ergiebige Quelle für Stalker.

Zum Thema
Fehler gesehen?

«Wir wollen zeigen, wie von Ihnen online veröffentlichte Geoinformationen genutzt werden können, um Leute offline zu attackieren», schreiben Gerald Friedland und Robin Sommer in einem Aufsatz, den sie Mitte August auf einer Sicherheitskonferenz in Washington D.C. präsentieren werden. Die beiden Informatiker vom International Computer Science Institute (ICSI) im kalifornischen Berkeley haben sich für ihre Studie auf Craigslist, YouTube, Flickr und Twitter umgeschaut.

Für die Kleinanzeigen-Webseite Craigslist haben die Wissenschaftler eine kleine Software geschrieben, die ihren RSS-Feed auswertet. Das Programm können sie so konfigurieren, dass es stetig eine Anfrage sendet, welche zum Beispiel nach allen Fahrrädern bis zu einem Preis aus einer Region in einem definierten Zeitraum sucht. «So haben wir uns alle 15 Minuten die neuen Anzeigen angeschaut und überprüft, ob sie Bilder enthalten. Wenn ja, haben wir sie gespeichert. So erhielten wir eine lange Liste mit Geotags, also Ortsangaben», erklärte Robin Sommer im Gespräch mit 20 Minuten Online.

Prostituierte finden

Die Forscher entdeckten schon nach kurzer Zeit einige Fotos, auf denen Anbieter ihre Diamanten anpriesen. Oft sah man auf dem Bild nur eine Hand mit dem Stein – keine Ortsangabe, dazu anonymisierte E-Mail-Adressen, weder Name noch Telefonnummer. Die Koordinaten der Orte, an denen die Bilder gemacht wurden, waren aber in seinen Metadaten enthalten. Sie liegen im so genannten Exchangeable Image File Format (Exif) vor und verraten neben den Koordinaten unter anderem, wann ein Foto gemacht wurde und welche Kamera mit welchem Objektiv der Fotograf verwendete. Die Forscher benutzten ein kleines Linux-Programm, welches die Exif-Daten in den Fotos erkennt und die Koordinaten herausschreibt. «Diese brauchten wir dann nur bei Google Maps einzugeben und konnten so leicht den genauen Ort finden. Die Geotags sind mittlerweile bis auf wenige Meter genau», sagte Robin Sommer. Auf Craigslist inserieren auch zahlreiche Prostituierte, die ihren Wohnort oftmals bewusst geheimhalten wollen, aber leicht aufgespürt werden können, wenn sie unachtsam mit Geodaten versehene Bilder ins Netz gestellt haben. Craigslist befreit die Fotos von den Metadaten, wenn man sie direkt auf die Server des Unternehmens hochlädt. Das gilt allerdings nicht für Fotos, die über HTML-IMG-Links präsentiert werden. Bei Flickr müssen Nutzer explizit zustimmen, dass ihre Fotos mit Geodaten hochgeladen werden.

Exif-Daten kann man auch mit dem Firefox-Add-on Exif Viewer auslesen. Dieses verwendeten Sommer und Friedland für ihre Recherchen auf Twitpic, einer Seite welche Nutzer des Microblogging-Dienstes verwenden, um dort Fotos hochzuladen, die sie dann auf Twitter verlinken. «So konnten wir unter anderem leicht sehen, wo ein bekannter US-Moderator wohnt», erinnerte sich Sommer. Ausserdem haben die Informatiker über die Webseite PicFog Stichwörter eingegeben und Bilder aus einer bestimmten Region gesucht. Ihnen interessant erscheinende Fotos sahen sie sich näher an und konnten dann wiederum mit der Firefox-Erweiterung zum Beispiel die Adresse eines Models auslesen. Ausserdem entdeckten sie ihren Twitter-Feed, der zwar öffentlich sichtbar, aber offensichtlich nicht für die Allgemeinheit bestimmt war. «Im Prinzip könnte man vielleicht sehen, dass eine Schauspielerin vor einer Woche mit jemand anderem zu einer bestimmten Zeit in einem bekannten Hotel in Los Angeles war – Klatschreporterträume werden wahr», sagte Robin Sommer.

Ideal für Einbrecher

YouTube erwies sich hingegen als Paradies für Einbrecher mit Programmierkenntnissen. «Wir haben uns über die von jedem nutzbare Schnittstelle Zugang zu YouTube verschafft und unsere Software nach Home und Kids suchen lassen», beschrieb Sommer das Vorgehen. Dann liessen die Forscher ihr Programm überprüfen, ob dieselben Leute in der vergangenen Woche Videos hochgeladen hatten, die in grosser Entfernung vom Ort des ersten Clips auf YouTube gestellt wurden. So haben Friedland und er beispielsweise einen User gefunden, der zunächst Clips mit seinen Kindern von Zuhause aus hochgeladen und dies am Tag zuvor aber aus einem Ferienort getan hat. Daraus schlossen sie, dass sein Haus, dessen Adresse sie dank der eingebetteten Geodaten leicht auslesen konnten, zurzeit ein potenzielles Ziel für Einbrecher sein könnte.

Hat ein Nutzer von YouTube in den Einstellungen nicht ausgewählt, dass Geodaten seines Videos nicht über die Schnittstelle ausgeliefert werden, sind sie automatisch im Clip enthalten. «Daran hat Google natürlich ein Interesse», ist sich Sommer sicher, «unter anderem, weil Videos in personalisierte Suchergebnisse oder Dienste dann besser zu integrieren sind. Was passiert, wenn man ein Video hochlädt und verhindert hat, dass die Geodaten über die Schnittstelle verfügbar sind? YouTube könnte sie löschen und nicht speichern. Die Seitenbetreiber könnten sie aber auch speichern, aber nicht öffentlich verfügbar machen», spekulierte Sommer. Eine entsprechende Anfrage von 20 Minuten Online liess das zu Google gehörende Videoportal bislang unbeantwortet. Nutzer können Geodaten aus YouTube-Clips auch nachträglich entfernen. Dazu müssen sie sich einloggen und auf das jeweilige Video klicken. Darüber sehen sie dann entsprechende Schaltflächen eingeblendet.

Stalking leicht gemacht

GPS-Empfang hat man meistens nur im Freien. Daher geht es vor allem um dort gemachte Fotos und Videos, bei denen man sich gut überlegen sollte, sie vom Gerät mit Ortsangaben versehen zu lassen. Auf etwaige Privatsphären-Probleme wollen auch die Macher der Ende Mai ins Netz gegangenen Website icanstalku.com hinweisen. «Wir lassen unsere Software TwitPic nach Bildern mit Koordinaten durchsuchen, dann werden sie mit der Datenbank von GeoNames verknüpft», erläuterte Macher Ben Jackson im Gespräch mit 20 Minuten Online. Er hat die Seite als Freizeitprojekt ins Netz gestellt. Auf icanstalku.com kann sich jeder dann den Ort des Fotos auf einer Karte anschauen. Es wird mit dem Bild aus dem Twitter-Account des Fotografen und dem jeweiligen Tweet kombiniert.

Die beliebtesten Leser-Kommentare

  • Experte am 23.07.2010 13:54 Report Diesen Beitrag melden

    Wieder mal eine riesen Geschichte...

    ... um fast nichts! Denn nur die wenigsten Kameras verfügen über einen GPS-Empfänger. Das heisst; nur die wenigsten Bilder werden im Exif-Bereich mit Koordinaten versehen. Wer also Bilder ins Internet stellt, welche mit einer Kamera mit GPS gemacht wurden (beispielsweise mit dem iPhone), der sollte daran denken, den Exif-Bereich zu löschen. Ausser man veröffentlicht die Bilder auf Panoramio.com :-) Bei allen anderen Kameras können gar keine Bilder mit Geodaten gemacht werden.

    einklappen einklappen
  • Andreas Siegrist am 25.07.2010 23:59 Report Diesen Beitrag melden

    Jede seriöse Seite...

    ...konvertiert die Bilder und übernimmt dabei keine persönliche Exif Tags

  • tja am 23.07.2010 17:00 Report Diesen Beitrag melden

    So ein Schwachsinn...

    "...die User nicht mal aktiv über die möglichen Einstellungen informieren." Ich bin kein Freund von Twitter und co. Ganz und gar nicht. Aber wenn User schlicht und einfach zu dumm sind, sich selbst zu informieren, haben sie es nicht anders verdient. Warum sollte Twitter - oder iregend ein anderes "soziales Netzwerk" plötzlich Bedienungsanleitungen für Digitalkameras und Handys herausgeben? Wer ein Gerät kauft ist selbst dafür verantwortlich. Dummheit oder mangelndes Bewusstsein rechtfertigen nicht irgendwelche Forderungen gegenüber Anderen.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Andreas Siegrist am 25.07.2010 23:59 Report Diesen Beitrag melden

    Jede seriöse Seite...

    ...konvertiert die Bilder und übernimmt dabei keine persönliche Exif Tags

  • Peter Spelt am 24.07.2010 08:11 Report Diesen Beitrag melden

    Zukunft

    Wir machen Heute Sachen, welche Morgen dazu verwendet werden unsere Verganheit auszuspionieren mit Tools an welche Heute noch keiner denkt. Aber ohne die eigene Aktion, nähmlich Daten ins Internet zu stellen, könnte gar nichts passieren. Ich habe einen Internet PC und einen Arbeits PC, da wird nichts vermischt, es gibt kein einziges Foto von mir online, auch nicht in einem Email, keine Telefonnummer, ausser eine nicht registrierte Handynummer für Ricardo. Vor allem mit Email muss man auspassen, da die Daten nicht mehr in der eigenen Verantwortung sind, ein kleines "Weiterleiten an alle" genügt

    • David K am 26.07.2010 15:51 Report Diesen Beitrag melden

      Von mir gibts zig Fotos im Netz...

      ...und solange ich mir bewusst bin, dass u.U. jemand damit Missbrauch betreiben könnte, ist mir das eigentlich auch herzlich egal.

    einklappen einklappen
  • tja am 23.07.2010 17:00 Report Diesen Beitrag melden

    So ein Schwachsinn...

    "...die User nicht mal aktiv über die möglichen Einstellungen informieren." Ich bin kein Freund von Twitter und co. Ganz und gar nicht. Aber wenn User schlicht und einfach zu dumm sind, sich selbst zu informieren, haben sie es nicht anders verdient. Warum sollte Twitter - oder iregend ein anderes "soziales Netzwerk" plötzlich Bedienungsanleitungen für Digitalkameras und Handys herausgeben? Wer ein Gerät kauft ist selbst dafür verantwortlich. Dummheit oder mangelndes Bewusstsein rechtfertigen nicht irgendwelche Forderungen gegenüber Anderen.

    • tja tja am 24.07.2010 11:48 Report Diesen Beitrag melden

      Genau so ein Schwachsinn

      Das ist mit Abstand der daemlichste Kommentar zu diesem Artikel. Diesen Artikel finde ich sehr gut. Es wird etwas beschrieben das mehr und mehr zum Problem wird. Die Publikation wurde von 2 Wissenschaftler publiziert die an international bekannten Orten arbeiten und auch in den internationalen Wissenschaftsmagazinen publizieren. Ich nehme mal an dass sie die Publikation gar nicht gelesen haben denn es geht nicht um irgendwelche Einstellungen oder schlecht informierte User.

    einklappen einklappen
  • Martin Mueller am 23.07.2010 14:42 Report Diesen Beitrag melden

    re: wieder mal eine riesen Geschichte

    Wieder einmal einer der vielen welche einfach was losposaunen. Ja, viele Kameras haben noch keine GPS Empfänger. Dafür aber fast jedes Handy heutzutage und diese Fotos beinalten Geo Daten. Also, weiter denken als nur über die Nasenspitze. Vor allem bei so einem Thema wie Datenschutz

  • Seppi am 23.07.2010 13:56 Report Diesen Beitrag melden

    Die machen doch was sie wollen

    Da sieht man doch wieder mal, dass die Betreiber dieser Sites sich ein Kram um die Datenschutzbestimmungen kümmern und die User nicht mal aktiv über die möglichen Einstellungen informieren.