Viele beliebte iPhone Apps überwachen deinen Screen – ohne dich zu fragen!

Es ist nicht weiter erstaunlich, dass die meisten Apps deine Daten sammeln. Manche verkaufen sie sogar ohne dein Wissen. Aber dass einige der weltweit beliebtesten Apps deinen Bildschirm permanent überwachen und nicht einmal für ausreichende Sicherheitsvorkehrungen sorgen, ist ein Hammer. Diese Entdeckung hat TechCrunch gemacht – Hollister, Expedia, Air Canada, hotels.com und viele mehr wissen ganz genau, wie du ihre Apps nutzt. Du weißt allerdings nichts von ihrem Treiben …

Das Tool, dass die Unternehmen in ihren Apps nutzen, nennt sich Glassbox. Wie sich dieses Tool selbst in einem Tweet beschreibt, sagt eigentlich schon alles:

„Stell dir vor, deine Website oder App könnte in Echtzeit genau sehen, was deine Nutzer gerade tun und warum sie es tun. Das ist keine hypothetische Frage mehr, sondern eine echte Möglichkeit. Das ist Glassbox. Erlebe es selbst.”

Nicht ohne, oder? Apps wie Hotels.com, Abercrombie & Fitch oder verwenden allesamt Glassbox. Dabei handelt es sich um eine der wenigen Analyse-Firma, die App-Entwicklern die Integration der „Session Replay“-Technologie ermöglicht. Mit dieser Technologie können die Entwickler den User-Screen sichern und anschließend nochmals wiedergeben.

Jeder deiner Klicks wird aufgezeichnet

Damit sehen sie ganz klar, wie User mit der App interagieren und ggf. Probleme lösen oder Adaptierungen vornehmen. Jeder Klick, jeder Tastenanschlag, jeder Tap wird aufgezeichnet, ein Screenshot angefertigt und an die App-Entwickler retourniert. So die die Langform hinter der getweeteten Kurzform der Glassbox-Erklärung.

Massive Risiken für Daten

Eine solche Möglichkeit birgt natürlich jede Menge Gefahren, für dich, deine Daten und deine Privatsphäre. Und so hat der „App Analyst“ in einer seiner Analysen beliebter Apps auch Folgendes herausgefunden: Die Air Canada-App hatte die Session Replays nicht ordnungsgemäß geschützt, als sie gesendet wurden. Dadurch wurden bei jeder der Sessions Reisepassnummern und sogar Kreditkarten-Daten enthüllt. Eigentlich hätten diese geschwärzt sein sollen. „So können Air Canada-Mitarbeiter – und jeder, der einen Zugang zur Screenshot-Datenbank hat – unverschlüsselte Kreditkarten- und Reisepassinfos einsehen,“ sagt der App Analyst zu TechCrunch.

Dass derartige sensible Daten bei Mitarbeitern der Firmen landen ist eine Sache. Aber es könnte sich natürlich auch ein Hacker in die Verbindung zwischen App und Server einschleichen und diese Daten stehlen. Eine ideale Gelegenheit für Cyberkriminelle!

Daten gehen an Unternehmens- oder Glassbox-Server

TechCrunch wollte der Sache weiter auf den Grund gehen und bat den Sicherheitsexperten, einige Apps, die Glassbox als Referenzen auf seiner Webseite gelistet hat, zu analysieren. Mittel des Man-in-the-middle-Tool Charles Proxy konnte der App Analyst sehen, welche Daten das Gerät verließen. Keine einzige der geprüften Apps gab an, dass sie den User-Screen aufzeichnete. Und schon gar nicht, dass diese Aufzeichnungen an das Unternehmen selbst oder direkt in die Glassbox-Cloud geschickt wurden. Hotels.com oder Expedia beispielsweise sammeln die Daten auf ihrem eigenen Server. Hollister auf Glassbox. Die meisten sensiblen persönlichen Daten waren laut dem Forscher geschwärzt. In manchen Fällen schienen aber E-Mail-Adressen und Postleizahlen auf.

Keine Info in Datenschutzbedingungen

Ohne die Daten jeder einzelnen App zu analysieren ist es unmöglich zu wissen, ob eine App auch speichert, wie ein User die App nutzt. Auch im Kleingedruckten der Datenschutzbedingungen ließ sich nichts finden. Keine der Apps deklarierten die Sammlung von User-Screens. Hotels.com, Expedia oder auch Air Canada und Singapore Airlines halten sich diesbezüglich sehr bedeckt.

Glassbox benötigt weder von Apple noch von den Usern eine Einverständniserklärung. Das heißt, du kannst dir nicht sicher sein, ob deine App-Aktivitäten nicht ausspioniert werden.

Stellungnahme bei Firmen angefragt

TechCrunch fragte bei allen Unternehmen eine Erklärung an, wo in ihren Datenschutzrichtlinien die Erlaubnis zu finden sei, dass die Aktivitäten eines Users auf seinem Handy aufgezeichnet werden dürfen. Abercrombie gab zu, dass Glassbox dabei helfe, dem Kunden ein nahtloses Shopping-Erlebnis zu ermöglichen. Session Replays wurden nicht erwähnt, auch nicht von Hollister.

Air Canada nahm wie folgt Stellung zum TechCrunch-Bericht: „Air Canada verwendet die vom Nutzer zur Verfügung gestellte Information, um sicherzustellen, seine Reisebedürfnisse zu erfüllen und etwaige Problemstellungen rund um seinen Trip zu lösen. Dazu gehören in die Air Canada-App eingegebene und dort gespeicherte Nutzer-Daten. Air Canada nimmt keine Telefon-Screenshots außerhalb der App auf. Es ist dazu gar nicht in der Lage.“

Weitere Session-Replay-Dienste am Markt verfügbar

Expedia gab keinerlei Auskunft. Hotels.com gehört zu diesem Konzern. Glassbox selbst sagte gegenüber TechCrunch, dass es seine Kunden nicht dazu motiviere, die Verwendung des Tools in ihren Datenschutzerklärungen zu erwähnen. Glassbox ist nicht das einzige Session Replay-Service am Markt. So versprechen beispielsweise Appsee und UXCam ähnliche Wundertaten, was das Auslesen von User-Interaktion mit einer App betrifft.

Derartige Vorgehensweisen scheinen Normalität zu sein. Keine der betroffenen Firmen entschuldigte sich. Glassbox wird einfach weiterverwendet, die User nicht informiert – und ihre Daten sowie Userverhalten zumindest ausspioniert, wenn nicht sogar gestohlen. Datenschutz und Userfreundlichkeit sehen anders aus …

Quelle: techcrunch.com; Foto: pixabay.com

Zusammenfassung
Viele beliebte iPhone Apps überwachen deinen Screen – ohne dich zu fragen!
Artikel Name
Viele beliebte iPhone Apps überwachen deinen Screen – ohne dich zu fragen!
Beschreibung
Es ist nicht weiter erstaunlich, dass die meisten Apps deine Daten sammeln. Manche verkaufen sie sogar ohne dein Wissen. Aber dass einige der weltweit beliebtesten Apps deinen Bildschirm permanent überwachen und nicht einmal für ausreichende Sicherheitsvorkehrungen sorgen, ist ein Hammer. Diese Entdeckung hat TechCrunch gemacht – Hollister, Expedia, Air Canada, hotels.com und viele mehr wissen ganz genau, wie du ihre Apps nutzt. Du weißt allerdings nichts von ihrem Treiben …
Author
Veröffentlicher
vpn-blog.de
Logo

Erstellt am:9. Februar 2019

Schreibe einen Kommentar

Weitere Artikel

/ / Anwendungen
In Kürze neu bei Surfshark VPN: BlindSearch™ & HackLock™

In Kürze neu bei Surfshark VPN: BlindSearch™ & HackLock™

Surfshark VPN hat in den letzten Monaten viel von sich hören lassen. 2018 erst gegründet, sorgt der supergünstige Anbieter regelmäßig für weitere Verbesserungen seiner Services. Beliebte Funktionen wie CleanWeb oder Whitelister sollen nun Zuwachs bekommen: Mit BlindSearch™ und HackLock™ erhalten die User zukünftig noch mehr für ihr Geld. Ein wenig dauert es zur Veröffentlichung zwar noch, wir haben aber direkt mit den Surfshark Machern gesprochen und einige spannende Details über die geplanten Features und ihre Vorteile herausgefunden. Und die wollen ...
Weiterlesen …
Angst, dass dein Smartphone & Co an der US-Grenze durchsucht wird? Dann beachte unsere 5 Tipps!

Angst, dass dein Smartphone & Co an der US-Grenze durchsucht wird? Dann beachte unsere 5 Tipps!

Grenzbehörden greifen immer drastischer in unsere Privatsphäre ein: Letztes Jahr führten US-Beamte über 33.000 Durchsuchungen von Geräten durch – ohne entsprechenden Durchsuchungsbefehl. Drei Jahre zuvor waren es nur 8.000. Untersuchungen zeigen, dass Beamte nahezu unbegrenzte Autorität haben, die Geräte von Reisenden an Grenzen zu durchsuchen. Die dabei gewonnenen Informationen können bis zu unglaublichen 75 Jahren gespeichert werden! Weitaus dramatischer ist aber die Tatsache, dass die Behörden deine Geräte auch nach Informationen über all jene Personen durchforsten kann, mit denen du ...
Weiterlesen …
/ / Politik, Überwachung
Du willst ein Visum für die USA? Dann musst du deine Social Media-Accounts offen legen!

Du willst ein Visum für die USA? Dann musst du deine Social Media-Accounts offen legen!

Die USA halten generell nicht viel von Privatsphäre. Schon gar nicht, wenn es um ausländische Besucher geht. So müssen alle jene, die ein Visum für die USA brauchen, ab sofort auch Auskunft zu ihren E-Mail- und Social-Media-Konten geben – verpflichtend! Sonst heißt es Draußenbleiben. Esta-Einreisen betrifft das aber nicht. Wieder einmal wird die „nationale Sicherheit“ vom US-Außenministerium für die Maßnahmen vorgeschoben, die bereits seit 2018 im Gespräch war. Diese heiligt alle Mittel – Überwachung etc. Wenn du ein US-Visum benötigst ...
Weiterlesen …
/ / Datenschutz
Klage wegen Cambridge Analytica Datenskandal: Facebook sieht keine Verletzung der Privatsphäre seiner User

Klage wegen Cambridge Analytica Datenskandal: Facebook sieht keine Verletzung der Privatsphäre seiner User

Erinnerst du dich noch an den großen Facebook Datenskandal rund um Cambridge Analytica? Dieser hat letztes Jahr für ordentlich Wirbel gesorgt. Einige User wollten sich die Datenweitergabe von Facebook nicht gefallen lassen und haben eine Sammelklage angestrengt. Klar, dass Facebook alles ganz anders sieht. Der Konzern meint doch tatsächlich, dass die Privatsphäre der Nutzer durch den Datenskandal nicht verletzt wurde … Als 2018 der Skandal rund um Cambridge Analytica und die damit verbundene unrechtmäßige Weitergabe von Nutzerdaten bekannt wurde, haben ...
Weiterlesen …
Wird geladen...