Selbstbedienungsladen Smartphone

Apps greifen ungeniert persönliche Daten ab

Wissen | Hintergrund

Viele Firmen betrachten ihre App als Eintrittskarte ins Datenparadies. Wenn sie ein Anwender installiert, hat sie Zugriff auf fast all seine Informationen. Und statt sich wie ein Gast zu verhalten, bedient sie sich an den Daten.

Die Rede ist nicht von Trojanern oder anderen Schadprogrammen; es geht um ganz normale Apps vom kostenlosen Taschenlampen-Tool über Messenger und Clients für soziale Netze bis hin zu Spielen. Erstaunlich viele dieser Apps lesen private Daten aus und übertragen die ohne viel Federlesens an Server im Internet.

Ein Smartphone weiß sehr viel über seinen Eigentümer. Das fängt beim Namen an, geht über diverse Kontaktdaten wie Telefonnummer, Adresse, E-Mail bis hin zum aktuellen Aufenthaltsort und seinen Plänen für die nächste Zeit. Darüber hinaus weiß es auch eine Menge über andere: Namen, Adressen und Telefonnummern von Freunden, Kollegen und Geschäftskontakten.

Entwickler von Smartphone-Apps nutzen diese Daten gern und häufig, um dem Anwender zu helfen und damit Programme und Dienste attraktiver zu gestalten – oder auch um Geld zu verdienen und den Wert des Unternehmens zu steigern; die Grenzen verlaufen dabei durchaus fließend. So ist es ein durchaus praktischer Service, dass die App der Deutschen Bahn bei der Verbindungssuche den nächstgelegenen Bahnhof anhand der aktuellen Position selbst ermittelt.

Und ein soziales Netzwerk, das mich automatisch mit all meinen echten Freunden, Bekannten und Geschäftskontakten verbindet, ist natürlich viel einladender als eines, bei dem ich von null anfange und mir zum x-ten Mal ein Netzwerk aufbauen muss. Das haben sich wohl auch die Entwickler von Path gedacht. Die App übertrug kurzerhand das komplette Adressbuch des Anwenders auf ihren Server, der es dort speicherte. Durch einen Abgleich mit den bereits vorhandenen Daten konnte Path den Anwender sofort vernetzen. Und wenn später weitere Bekannte dem Netzwerk beitraten, tauchten die ebenfalls sofort in der Liste auf.

Konkret übertrug die App beim Start alle Daten des Adressbuchs einschließlich Mail-Adressen, Telefonnummern und sogar die Postanschriften der gespeicherten Kontakte. Auf Rückfragen, ob der Anwender das wirklich will, verzichtete man zunächst – wohl weil es potenzielle Nutzer irritieren könnte und unnötige Fragen aufwirft. Es gab keinen einzigen konkreten Hinweis auf diese Datensammelei. Erst im Februar flog das Ganze auf, als ein Blogger diese dreiste Selbstbedienung öffentlich anprangerte.

Der Geschäftsführer von Path, Dave Morin, reagierte auf die um sich greifende Empörung prompt mit einer persönlichen Erklärung, dass man die Daten ausschließlich nutze, um die Nutzer untereinander zu vernetzen. Doch der Firma war natürlich durchaus bewusst, dass die Anwender die Heimlichtuerei keineswegs gutheißen. Immerhin hatte man bereits zwei Wochen zuvor in der Android-Version eine explizite Nachfrage eingebaut und auch eine entsprechende iPhone-Version war bereits so weit fertig, dass man sie quasi sofort bei Apple einreichen konnte.

Auch das weitere Hin und Her um die Daten wirft kein gutes Licht auf die Firma. Zunächst hieß es noch, man müsse sich per Mail an das Service-Team selbst um eine Löschung der ungefragt erhobenen Adressdaten bemühen. Erst als die Wellen der Empörung immer höher schwappten, zog Morin die Reißleine und verkündete, man werde sämtliche bislang erhobenen Adressbuchdaten löschen. Einen Nachweis, dass dies tatsächlich erfolgt ist, blieb die Firma allerdings schuldig.

Doch Path war und ist kein Einzelfall; bei der anschließenden Suche nach weiteren Übeltätern wurde die Internet-Gemeinde gleich mehrfach fündig: Foursquare und Hipster bedienten sich ähnlich dreist und ohne jegliche Nachfragen am Adressbuch und mussten nachbessern. Instagram kam einer Entdeckung knapp zuvor und baute in das Update für die neue Bedienoberfläche ohne weitere Erwähnung auch eine neue Nutzerabfrage zur Übertragung des Adressbuchs ein. An den Pranger für die bis dahin praktizierte, heimliche Datenübertragung kam das beliebte Foto-Netzwerk dennoch.

Darüber hinaus fand sich eine große Zahl von Networking-Apps, die zwar erst dann aktiv wurden, wenn der Anwender „Freunde finden“ wollte. Allerdings konnte er in vielen Fällen höchstens ahnen, dass da Daten an den Hersteller übermittelt wurden. Die Reaktionen der Betroffenen zeigen deutlich, dass die Mehrzahl davon ausgegangen war, der Datenabgleich gehe lokal auf ihrem Smartphone vonstatten. Kein Wunder, denn eine Beschreibung wie „Durchsuche deine Kontakte nach Leuten, die du auf Twitter bereits kennst“ provoziert dieses Missverständnis geradezu.

Erst recht empört waren viele, dass es dabei keineswegs nur um einen einmaligen Abgleich ging. Twitter gab auf Nachfragen gegenüber der LA Times zu, dass man zumindest die übertragenen E-Mail-Adressen und Telefonnummern bis zu anderthalb Jahre speichere. Wohl gemerkt: Es geht nicht nur um die Daten der Twitter-Nutzer, sondern um alle Personen, die sich in deren Adressbüchern befinden. Das sind angesichts der über 200 Millionen registrierten Anwender nicht nur riesige Datenmengen; durch die vielen prominenten Twitter-User dürfte sich da auch das ein oder andere Daten-Juwel finden. (ju)

Den vollständigen Artikel finden Sie in c't 7/2012.

Datenschleuder Smartphone

Artikel zum Thema "Datenschleuder Smartphone" finden Sie in c't 7/2012:

  • Apps bedienen sich an Ihren Daten - Seite 114
  • So spüren Sie Datenschnüffler auf - Seite 120

Kommentare

Anzeige