iOS Apps: Zugriff auf Kontaktdaten der Nutzer sind Standard
(15. 02. 2012, 15:00) Vor einer Woche entdeckte der Entwickler Arun Thampi eher zufällig den unerlaubten Zugriff von Path auf die Kontaktinformationen aus seinem Adressbuch. In erster Linie war er eigentlich damit beschäftigt zu testen, welche Datenverbindungen die Path-App aufbaut. Bei genauerer Betrachtung der Prozesse fiel ihm erst der Zugriff auf. Besonders für das Start-Up-Unternehmen bedeutet diese Entdeckung einen immensen Gesichtsverlust, da es sich immer als sichere Alternative zu Facebook und Co präsentierte.
Die Erkenntnisse um die Vorgehensweise von Path veranlasste das Online-Magazin The Verge dazu, eigene Untersuchungen an iOS-Apps durchzuführen. Das erschreckende Ergebnis: Durch das Herunterladen einer Applikation gewährt der Nutzer in vielen Fällen unwissend Vollzugriff auf seine am iPhone gespeicherten Daten, welche dann auf den Servern der Unternehmen gespeichert werden können. Von da an, können diese Informationen zu allerlei Zwecken genutzt werden. Dennoch gibt es auch einige rühmliche Ausnahmen, die den Nutzer um Erlaubnis auf Zugriff bitten.
Um zu untersuchen, welche der beliebtesten Applikationen betroffen sind, kam das von Arun Thampi beschriebene Vorhaben zum Einsatz. Dafür ist es notwendig ein Programm, in diesem Fall mitmproxy, auf dem Computer zu installieren, um alle ein- und ausgehenden Daten verfolgen zu können. Danach muss die „Standard-Route“ auf dem IPhone neu eingestellt werden, damit die Datenpakete über den Computer und nicht mehr über den Netzwerk-Router laufen. Dies macht man im Allgemeinen in den TCP/IP Einstellungen der WLAN-Netzwerkverbindung auf dem IPhone.
Bei den meisten getesteten Applikationen wurden die Daten über sichere Verbindungen an die Server übermittelt. Dennoch wurden Programme entdeckt, die eine unverschlüsselte Übertragung für die Daten wählen. Darunter fällt auch die Applikation eines im deutschsprachigen Raum eher unbekannten sozialen Netzwerks namens Hipster.
Generell wurden derlei Zugriffe bis jetzt nur bei Applikationen festgestellt, bei denen man im Allgemeinen nach Freunden oder Informationen über diese sucht.
Neben Path, greift auch Foursquare, zwar über eine sichere Verbindung, aber dennoch auf die Kontaktinformationen der Nutzer zu und lädt sie, ohne Zustimmung, auf die Firmen-Server. Foursquare reagierte auf die Entdeckungen und änderte prompt die Einstellungen und klärt jetzt die Nutzer mittels eines Pop-ups über den Zugriff auf die Daten auf.
Zudem gibt es auch Applikationen, die explizit darauf hinweisen, dass ein Zugriff auf Daten erfolgt. Neben Twitter, sind das auch Facebook und LinkedIn. Bei diesen Beispielen erfolgt das Herunterladen aber erst, wenn man die Option „Freunde finden“ wählt. Auch Gowalla beschafft sich die Daten der Nutzer.
Unter den Spiele-Applikationen befinden sich Angry Birds und auch Cut the Rope. Diese verbinden sich mit dem sogenannten Crystal-Service. Dafür muss sich der Nutzer registrieren, um das Spiel mit dem Netzwerk zu verbinden. Im Zuge der Registrierung erlaubt der Nutzer den Zugriff auf seine Daten.
Als herausragendes positives Beispiel muss Facebook erwähnt werden. Das häufig für mangelnde Sicherheit der Privatsphäre kritisierte soziale Netzwerk, schützt seine Nutzer hierbei am besten.
Der Grund ist auch ganz einfach: Viele Applikationen nutzen Facebook um Freunde zu identifizieren und miteinander zu verbinden. Anstatt die Kontaktinformationen herunter zu laden, haben sich viele Entwickler dazu entschlossen, mittels Open Graph die Daten zu integrieren.
Bei Anwendungen wie Pinterest, Skype, Flipboard, Pandora, Rdio, Google+ und auch bei Skype wurden mit der verwendeten Methode keinerlei Zugriffe auf Kontaktinformationen festgestellt.
Dennoch ist es möglich, dass bei diesen Diensten eine andere Art des Uploads der Daten eingesetzt wird und durch die von Arun Thampi verwendete Methode nicht erkannt werden kann.
Entwickler schieben die Schuld dieser Sicherheitsrisiken direkt Apple selbst zu. Das Unternehmen verlangt nach wie vor nicht, Zugriffsrechte von den Nutzern einzufordern. Zudem kümmert sich Apple nicht um eine Regulierung der Übermittlung sowie den Umgang mit Kontaktinformationen. Der Vertrauensbruch, so User-Interface-Designer Dustin Curtis, liege eindeutig beim Unternehmen und nicht bei den Entwicklern.
Dennoch ist ein rasches Handeln von beiden Seiten nötig, um die Nutzer vor unerlaubten Zugriff auf private Daten zu schützen. Wer sich hier letzten Endes verantwortlich fühlt, ist irrelevant. Hauptsache es geschieht etwas, um das zu ändern.
