Heikle Börsenkursabfragen des iPhones

Diverse Online-Quellen berichten, dass das iPhone bei der Abfrage von Börsenkursen eine eindeutige Geräte-ID an Apple übermittelt, die indirekt auch mit Namen und Adressen der Anwender verknüpft ist. Konkrete Tests von heise Security können Letzteres jedoch nicht bestätigen.

Die Artikel lassen sich auf einen Blog-Eintrag und dieser auf einen Beitrag im Forum Hackint0sh zurückführen. Dort berichtet ein Teilnehmer, dass die iPhone-Applikation Stocks Anfragen der Form

http://iphone-wu.apple.com/dgw?imei=%@&apptype=finance

an Apple übermittle und dabei das "%@" durch die IMEI des Geräts ersetze.

Die International Mobile Equipment Identity (IMEI) ist eine eindeutige Gerätenummer, über die einige Netzbetreiber beispielsweise gestohlene Handys sperren. Die iTunes-Aktivierung des iPhones überträgt diese ID auch an Apple, sodass der Hersteller sie somit einem iTunes-Account und damit einer Person zuordnen kann.

In der Tat findet sich dieser String in der Programmdatei Stocks, das die Börsenkurse anzeigt.

Den naheliegenden Verdacht, dass dabei tatsächlich direkt mit jeder Anfrage die IMEI des Mobiltelefons übermittelt wird, bestätigten die Tests von heise Security jedoch nicht. Zwar fand sich in den HTTP-Anfragen an den Apple-Server tatsächlich eine Zahl, sie stimmte allerdings nicht mit der IMEI des iPhones überein. Außerdem sendete die Wetterabfrage eine andere "IMEI" als das Börsen-Applet.

Somit lässt sich ohne weitere Hintergrundinformationen keine Aussage darüber treffen, ob die übertragene ID personenbezogene Daten enthält. Überhaupt sind Spekulationen, Apple überwache gezielt das Interesse für spezielle Börsenkurse, sehr weit hergeholt. Wahrscheinlicher ist es da schon, dass Apple allgemeinere Nutzungstatistiken führt und die Brisanz der Kombination einer möglicherweise auf Personen zurückführbaren ID und dem Interesse für bestimmte Börsenkurse unterschätzt hat. (ju/c't)