Android blockiert die Weitergabe von Standortdaten in Fotos

 (shkspr.mobi)
1 Punkte von GN⁺ 16 일 전 | 2 Kommentare | Auf WhatsApp teilen
  • Android wurde so geändert, dass beim Hochladen von Fotos EXIF-Standortmetadaten automatisch entfernt werden, wodurch die Standortzuordnung in webbasierten Diensten nicht mehr funktioniert
  • Google erklärt diese Maßnahme mit stärkerem Datenschutz; sie soll Risiken wie Stalking oder Diebstahl verringern
  • Auch bei den meisten anderen Freigabemethoden wie Bluetooth, QuickShare und E-Mail-Versand werden Standortdaten entfernt; nur direktes Kopieren per USB bleibt eine Ausnahme
  • Entwickler kritisieren, dass die Funktion ohne vorherige Ankündigung blockiert wurde; für Web-Apps gibt es keine Alternative, sodass die Entwicklung nativer Apps nötig wird
  • Nutzer sind gespalten zwischen mehr Sicherheit und eingeschränkter Wahlfreiheit; diskutiert werden technische Umgehungen zur Beibehaltung von EXIF-Daten und Verbesserungen an Standards

Android blockiert die Weitergabe von Standortdaten in Fotos

  • OpenBenches ist eine Website, auf der Nutzer Fotos und Standorte von Gedenkbänken teilen; zur Kartenanzeige nutzt sie die EXIF-Standortmetadaten von Fotos
  • Da Android inzwischen beim Hochladen von Fotos die Standortinformationen entfernt, ist eine automatische Standortzuordnung über das Web nicht mehr möglich
  • Mit HTML über <input type="file" accept="image/jpeg"> konnten über den Fotoauswahldialog Bilder mit enthaltenen Standortdaten hochgeladen werden, doch Google hat dies absichtlich blockiert
    • Der später empfohlene allgemeine Dateiauswahldialog (<input type="file">) behielt die EXIF-Informationen zunächst bei, wurde aber durch ein weiteres Update ebenfalls blockiert
  • Auch bei Bluetooth, QuickShare und E-Mail-Versand werden Standortdaten automatisch entfernt, sodass nur das direkte Kopieren per USB-Kabel als einzige Ausnahme bleibt

Grund der Änderung und Googles Position

  • Google gibt an, dass diese Maßnahme dem Datenschutz (Privacy) dient
    • Wenn Nutzer versehentlich Fotos mit Standortdaten teilen, können Risiken wie Stalking oder Diebstahl entstehen
  • Die meisten Social-Media-Dienste (Facebook, Mastodon, BlueSky, WhatsApp usw.) entfernen Standortdaten standardmäßig; nur wenn Nutzer es wollen, können sie diese manuell hinzufügen
  • Google scheint die Standortdaten auf Systemebene zu blockieren, um „Risiken durch die Offenlegung des Nutzerstandorts“ zu verhindern

Reaktionen der Community und Probleme

  • Die Änderung wurde weder vorher angekündigt noch abgestimmt, was bei Entwicklern und Nutzern für Verwirrung sorgt
  • Betreiber von Diensten wie OpenBenches erhalten Beschwerden von Nutzern, dass „die Funktion kaputt ist“; zudem wird kritisiert, dass Google keine Rückmeldungen aus der Community aufnimmt
  • Auch in webbasierten Apps (PWA) ist kein Zugriff auf Standortdaten möglich, sodass es außer der Entwicklung nativer Android-Apps keine Alternative gibt
    • Android-Apps bieten eine separate Berechtigung (permission) für den Zugriff auf Standortdaten in Fotos

Vorschläge und Bitten

  • Als Alternative wird ein Auswahl-Popup beim Foto-Upload genannt, etwa: „Diese Website möchte die Standortdaten des Fotos sehen. Ja/Nein/Immer/Nie“
    • Wegen möglicher Nutzerermüdung und uneindeutiger Formulierungen wird die Wirksamkeit jedoch als gering eingeschätzt
  • Entwickler, die eine Möglichkeit kennen, in Android-Webbrowsern Fotos mit erhaltenen EXIF-Standortdaten hochzuladen, werden um Rückmeldungen gebeten
  • Außerdem wird dazu aufgerufen, sich an Diskussionen zum HTML-Standard zu beteiligen und mit einem +1 Feedback zum WHATWG-HTML-Spec-Issue beizutragen

Zusammenfassung der Nutzermeinungen

  • Einige Nutzer bewerten Googles Maßnahme als notwendige Datenschutzfunktion positiv
  • Andere kritisieren, dass den Nutzern die Wahlfreiheit genommen wurde, und vertreten die Ansicht, „erwachsene Nutzer sollten frei entscheiden können, was sie auf ihrem Gerät tun“
  • Als technische Umgehung wird auch genannt, EXIF-Informationen in eine ZIP-Datei einzupacken und so zu übertragen
  • Insgesamt wird weiter über das Gleichgewicht zwischen Sicherheit und Komfort diskutiert

Verwandte Beiträge

2 Kommentare

 
unsure4000 16 일 전

Wie bei iOS wäre es wohl besser, das als Option im Picker unterzubringen, aber eine vollständige Sperre ist wirklich schade.
 
GN⁺ 16 일 전
Hacker-News-Kommentare

  • Die Nutzung von Geolokalisierung bei im mobilen Browser hochgeladenen Bildern ist extrem selten.
    Die meisten Nutzer wissen nicht, dass sie beim Aufnehmen eines Fotos ihre GPS-Koordinaten in Echtzeit an eine Website senden.
    Es wäre gut gewesen, wenn es beim input-Tag ein Attribut wie includeLocation gäbe, das den Nutzer per Popup um Bestätigung bittet.

    • Als ich bei einer Behörde gearbeitet habe, gab es einmal eine Kampagne zum Schutz von Schildkrötenhabitaten.
      Das war ein Projekt, bei dem Bürger den Standort melden sollten, wenn sie ein Nest fanden, aber bei einer einfachen Formulareingabe kam eine Menge minderwertiger Daten zusammen.
      Deshalb schlug ich vor, Fotos anzunehmen und EXIF-Daten zu extrahieren, aber das wurde abgelehnt mit der Begründung, dass Leute sofort abspringen würden, wenn man nach ihrem Standort fragt.
      Am Ende wurde mir klar, dass Nutzer es extrem ungern sehen, einer Regierungswebsite ihren Standort zu geben.
    • Viele der auf Google Maps hochgeladenen Fotos sind persönliche Selfies oder private Bilder.
      Die Uploader wissen oft nicht, dass ihre Fotos öffentlich sichtbar werden, und vermutlich wurden sie automatisch über EXIF-Informationen verknüpft.
    • Laut Artikel ist das nicht nur ein Problem mobiler Browser, sondern Standortinformationen werden auch bei Übertragungen per Bluetooth oder QuickShare entfernt.
      Erhalten bleiben sie nur, wenn man die Dateien direkt per USB-Kabel kopiert und dann über einen Desktop-Browser hochlädt.
      Ich möchte, dass Standortinformationen bei Cloud-Backups erhalten bleiben.
    • Auch ein Smartphone ist letztlich ein Computer, und ich finde nicht, dass Google oder Apple entscheiden sollten, wie meine Fotos verwendet werden.
    • Es ist eine schreckliche Funktion, Fotos automatisch mit sensiblen personenbezogenen Daten wie exakten Breitengrad- und Längengradangaben zu versehen.
      Das ist, als würde ein Word-Dokument meine Wohnadresse automatisch als Metadaten enthalten.

  • Ich denke, Google hat mit dieser Maßnahme richtig gehandelt.
    Die meisten Menschen wissen nicht, wie viele Informationen in den Metadaten eines Fotos stecken, und ihre Entfernung entspricht den Erwartungen der Nutzer.

    • Wenn Google Privatsphäre wirklich ernst nähme, hätte Maps auf einer separaten Subdomain bleiben müssen.
      Derzeit muss man Google Search ebenfalls Standortrechte geben, wenn man Maps den Standort geben will.
    • Andererseits verschwindet damit eine nützliche Funktion komplett.
      Wie bei der Debatte um Sideloading auf Android verschwindet eine Funktion, die für eine kleine Zahl von Power-Usern existierte, und am Ende bleiben nur noch „dumme Geräte“ übrig.
    • Statt einfach ein Kontrollkästchen „Standort einbeziehen“ hinzuzufügen, hat man die Funktion komplett blockiert, was übertrieben ist.
      Jetzt kann man die Daten nur noch per USB-Kabel herausbekommen.
    • EXIF-Daten sind stärker zur Identifikation von Personen geeignet, als man denkt.
      Früher haben Kameras die „seit dem Gerätestart verstrichene Zeit“ gespeichert, und damit konnte man bestimmte Nutzer verfolgen.
    • Es gibt sogar den Scherz, wer Bildmetadaten nicht kennt, solle keinen Computer benutzen.
      Das Problem ist so alt, dass es schon in Fernsehserien der 90er behandelt wurde.

  • Diese Änderung dient zwar der Stärkung der Privatsphäre, läuft aber zugleich einer Verifizierung der Wahrheit entgegen.
    In einer Zeit voller KI-generierter Bilder brauchen wir ein System, mit dem sich Herkunft und Entstehungskontext eines Bildes nachverfolgen lassen.

  • Problematisch ist auch, dass der Standard-Bildauswähler von Android Dateinamen entfernt.
    Dadurch glauben Nutzer fälschlich, Apps würden Dateinamen ändern.
    Im Google Issue Tracker heißt es, das sei „beabsichtigtes Verhalten“ und werde nicht geändert.

    • Der Bildauswähler hat keinen Zugriff auf Verzeichnisse, daher ist die Anzeige von Dateinamen aus Sicherheitsgründen unangemessen.
      Wer Dateinamen will, muss Zugriff auf das Verzeichnis anfordern.
    • Trotzdem wirkt diese Entscheidung von Google seltsam.
      Die meisten Nutzer laden Fotos hoch, die sie direkt mit der Standard-Kamera-App aufgenommen haben.
      Wenn Standort oder Dateiname das Problem sind, hätte man die Metadaten in der Kamera-App anpassen können.

  • Der typische „Privatsphäre schützen“‑Ansatz von Organisationen wie Google besteht darin, den Zugriff der Nutzer auf ihre Daten zu blockieren, während sie selbst weiterhin darauf zugreifen.
    Manche Messenger-Apps verhindern auch Screenshots und beschränken unter dem Vorwand des „Nutzerschutzes“ Funktionen.

    • Bei Facebook ist es ähnlich: Es exportiert nur EXIF-bereinigte Fotos, nutzt die Daten intern aber weiterhin.
    • Tatsächlich kommt dieses Ergebnis daher, dass Chrome keine Standortdaten anfordert.
      Ab Android 10 und höher muss eine App die Berechtigung ACCESS_MEDIA_LOCATION deklarieren und anfordern, um EXIF-Standorte lesen zu können.
      Siehe offizielle Android-Dokumentation.
    • Manche Messenger blockieren Screenshots nur bei Einmalfotos; das ist noch nachvollziehbar.
      Aber weil man den Bildschirm einfach mit einem anderen Gerät fotografieren kann, ist das letztlich nur Scheinsicherheit.
    • Ich wollte iPhone-Mirroring unter macOS aufzeichnen, aber wegen DRM wurde nur ein schwarzer Bildschirm aufgenommen.
      Aus Unternehmenssicht mag das beruhigend sein, die Nutzererfahrung ist aber schlecht.

  • Eine von Freiwilligen betriebene Meldeplattform für Fahrradwege wurde durch diese Maßnahme komplett kaputtgemacht.
    Vigilo.city war offen gestaltet, sodass Meldungen auch ohne Konto möglich waren, aber weil EXIF-GPS verschwindet, ist die Nutzungshürde stark gestiegen.
    Schade, denn einen Ablauf zu entwerfen, der Nutzer klar über die Standortfreigabe informiert, wäre nicht schwierig gewesen.

  • Ein ähnlicher Fall ist, dass man seit Android 11 plötzlich keine Sonderzeichen (:<>?|\\*) mehr in Dateinamen verwenden kann.
    Begründet wurde das mit Windows-Kompatibilität, aber ich nutze nur Linux, daher ist es für mich eine unnötige Einschränkung.
    Zugehöriges Issue

    • Letztlich wiederholen sich solche Probleme schon seit Langem.
      Auch in einer früheren Diskussion ging es um dasselbe Thema.
    • Ich habe mir angewöhnt, Dateinamen nur aus Kleinbuchstaben, Zahlen, Bindestrichen und Punkten zu bilden.
      Dadurch konnte ich Synchronisationsprobleme reduzieren.
    • Manche reagierten auch mit der Frage, welche Dateien man überhaupt mit solchen Sonderzeichen benennen wolle.
    • Dass Google seine Richtlinien auf Windows- und Mac-Nutzer ausrichtet, ist verständlich, aber Linux-Nutzer bleiben außen vor.
    • Zeichen wie ein Sternchen (*) im Dateinamen sind auf jedem Betriebssystem problematisch.

  • Es wirkt so, als wolle die Google-Photos-App Bilddateien exklusiv verwalten.
    Wenn man bearbeiteten Fotos oder Screenshots einen Standort hinzufügen will, heißt es, dieser werde „nur innerhalb von Photos angezeigt“.
    Exportiert man die Datei, wird er nicht in EXIF gespeichert.
    Sowohl Android als auch iOS behandeln JPEG/PNG nicht als gewöhnliche Dateien, sondern als spezielle Objekte, deren Metadaten nur in app-internen Datenbanken gespeichert werden.
    Am Ende verschwindet die Interoperabilität, und man wird an die Photos-App gebunden.

  • Statt den Standort komplett zu entfernen, hätte man die Koordinaten ungenau machen (fuzzing) können.
    Wenn man zum Beispiel nur eine Nachkommastelle bei Breiten- und Längengrad veröffentlicht, ließe sich ungefähr auf 10 km genau unterscheiden.
    Ich habe früher viele standortbasierte Reisetagebücher und Datenvisualisierungsprojekte gemacht, aber jetzt ist das fast unmöglich geworden.
    Ironischerweise sammelt Google für Werbung weiterhin präzise Standortdaten.

    • In dünn besiedelten Regionen besteht aber selbst bei 10-km-Rastern ein Risiko der Identifizierung einzelner Personen.
      Wenn in der Umgebung nur ein einziges Haus steht, ist die Zuordnung sofort möglich.
    • Das Ungenau-Machen von Standorten ist die schlechteste Wahl, weil dabei sowohl Privatsphäre als auch Funktionalität verloren gehen.
      Eine bessere Lösung wäre, dem Dateiauswähler ein Attribut wie includeExif zu geben und den Nutzer explizit bestätigen zu lassen.

  • Diese Maßnahme geht in die richtige Richtung.
    Wie auch im WHATWG-Issue diskutiert, wäre es sinnvoll, wenn Browser explizite Funktionen zum Umgang mit Standortinformationen hinzufügen würden.
    Problematisch ist allerdings, eine Funktion ohne Ersatz zu entfernen.

    • Man hätte die Reihenfolge umkehren müssen.
      Zuerst hätte es eine Opt-in/Opt-out-Funktion in der UI geben müssen, danach hätte man den Standardwert ändern sollen.
      So ist die Aufgabe selbst jetzt nicht mehr möglich.
    • Standort-Tags standardmäßig zu deaktivieren ist richtig, aber man hätte warten müssen, bis dem Standardspezifikation (WHATWG) eine Ersatzfunktion hinzugefügt wird.