Viele beliebte iPhone Apps überwachen deinen Screen – ohne dich zu fragen!

Es ist nicht weiter erstaunlich, dass die meisten Apps deine Daten sammeln. Manche verkaufen sie sogar ohne dein Wissen. Aber dass einige der weltweit beliebtesten Apps deinen Bildschirm permanent überwachen und nicht einmal für ausreichende Sicherheitsvorkehrungen sorgen, ist ein Hammer. Diese Entdeckung hat TechCrunch gemacht – Hollister, Expedia, Air Canada, hotels.com und viele mehr wissen ganz genau, wie du ihre Apps nutzt. Du weißt allerdings nichts von ihrem Treiben …

Das Tool, dass die Unternehmen in ihren Apps nutzen, nennt sich Glassbox. Wie sich dieses Tool selbst in einem Tweet beschreibt, sagt eigentlich schon alles:

„Stell dir vor, deine Website oder App könnte in Echtzeit genau sehen, was deine Nutzer gerade tun und warum sie es tun. Das ist keine hypothetische Frage mehr, sondern eine echte Möglichkeit. Das ist Glassbox. Erlebe es selbst.”

Nicht ohne, oder? Apps wie Hotels.com, Abercrombie & Fitch oder verwenden allesamt Glassbox. Dabei handelt es sich um eine der wenigen Analyse-Firma, die App-Entwicklern die Integration der „Session Replay“-Technologie ermöglicht. Mit dieser Technologie können die Entwickler den User-Screen sichern und anschließend nochmals wiedergeben.

Jeder deiner Klicks wird aufgezeichnet

Damit sehen sie ganz klar, wie User mit der App interagieren und ggf. Probleme lösen oder Adaptierungen vornehmen. Jeder Klick, jeder Tastenanschlag, jeder Tap wird aufgezeichnet, ein Screenshot angefertigt und an die App-Entwickler retourniert. So die die Langform hinter der getweeteten Kurzform der Glassbox-Erklärung.

Massive Risiken für Daten

Eine solche Möglichkeit birgt natürlich jede Menge Gefahren, für dich, deine Daten und deine Privatsphäre. Und so hat der „App Analyst“ in einer seiner Analysen beliebter Apps auch Folgendes herausgefunden: Die Air Canada-App hatte die Session Replays nicht ordnungsgemäß geschützt, als sie gesendet wurden. Dadurch wurden bei jeder der Sessions Reisepassnummern und sogar Kreditkarten-Daten enthüllt. Eigentlich hätten diese geschwärzt sein sollen. „So können Air Canada-Mitarbeiter – und jeder, der einen Zugang zur Screenshot-Datenbank hat – unverschlüsselte Kreditkarten- und Reisepassinfos einsehen,“ sagt der App Analyst zu TechCrunch.

Dass derartige sensible Daten bei Mitarbeitern der Firmen landen ist eine Sache. Aber es könnte sich natürlich auch ein Hacker in die Verbindung zwischen App und Server einschleichen und diese Daten stehlen. Eine ideale Gelegenheit für Cyberkriminelle!

Daten gehen an Unternehmens- oder Glassbox-Server

TechCrunch wollte der Sache weiter auf den Grund gehen und bat den Sicherheitsexperten, einige Apps, die Glassbox als Referenzen auf seiner Webseite gelistet hat, zu analysieren. Mittel des Man-in-the-middle-Tool Charles Proxy konnte der App Analyst sehen, welche Daten das Gerät verließen. Keine einzige der geprüften Apps gab an, dass sie den User-Screen aufzeichnete. Und schon gar nicht, dass diese Aufzeichnungen an das Unternehmen selbst oder direkt in die Glassbox-Cloud geschickt wurden. Hotels.com oder Expedia beispielsweise sammeln die Daten auf ihrem eigenen Server. Hollister auf Glassbox. Die meisten sensiblen persönlichen Daten waren laut dem Forscher geschwärzt. In manchen Fällen schienen aber E-Mail-Adressen und Postleizahlen auf.

Keine Info in Datenschutzbedingungen

Ohne die Daten jeder einzelnen App zu analysieren ist es unmöglich zu wissen, ob eine App auch speichert, wie ein User die App nutzt. Auch im Kleingedruckten der Datenschutzbedingungen ließ sich nichts finden. Keine der Apps deklarierten die Sammlung von User-Screens. Hotels.com, Expedia oder auch Air Canada und Singapore Airlines halten sich diesbezüglich sehr bedeckt.

Glassbox benötigt weder von Apple noch von den Usern eine Einverständniserklärung. Das heißt, du kannst dir nicht sicher sein, ob deine App-Aktivitäten nicht ausspioniert werden.

Stellungnahme bei Firmen angefragt

TechCrunch fragte bei allen Unternehmen eine Erklärung an, wo in ihren Datenschutzrichtlinien die Erlaubnis zu finden sei, dass die Aktivitäten eines Users auf seinem Handy aufgezeichnet werden dürfen. Abercrombie gab zu, dass Glassbox dabei helfe, dem Kunden ein nahtloses Shopping-Erlebnis zu ermöglichen. Session Replays wurden nicht erwähnt, auch nicht von Hollister.

Air Canada nahm wie folgt Stellung zum TechCrunch-Bericht: „Air Canada verwendet die vom Nutzer zur Verfügung gestellte Information, um sicherzustellen, seine Reisebedürfnisse zu erfüllen und etwaige Problemstellungen rund um seinen Trip zu lösen. Dazu gehören in die Air Canada-App eingegebene und dort gespeicherte Nutzer-Daten. Air Canada nimmt keine Telefon-Screenshots außerhalb der App auf. Es ist dazu gar nicht in der Lage.“

Weitere Session-Replay-Dienste am Markt verfügbar

Expedia gab keinerlei Auskunft. Hotels.com gehört zu diesem Konzern. Glassbox selbst sagte gegenüber TechCrunch, dass es seine Kunden nicht dazu motiviere, die Verwendung des Tools in ihren Datenschutzerklärungen zu erwähnen. Glassbox ist nicht das einzige Session Replay-Service am Markt. So versprechen beispielsweise Appsee und UXCam ähnliche Wundertaten, was das Auslesen von User-Interaktion mit einer App betrifft.

Derartige Vorgehensweisen scheinen Normalität zu sein. Keine der betroffenen Firmen entschuldigte sich. Glassbox wird einfach weiterverwendet, die User nicht informiert – und ihre Daten sowie Userverhalten zumindest ausspioniert, wenn nicht sogar gestohlen. Datenschutz und Userfreundlichkeit sehen anders aus …

Quelle: techcrunch.com; Foto: pixabay.com

Zusammenfassung
Artikel Name
Viele beliebte iPhone Apps überwachen deinen Screen – ohne dich zu fragen!
Beschreibung
Es ist nicht weiter erstaunlich, dass die meisten Apps deine Daten sammeln. Manche verkaufen sie sogar ohne dein Wissen. Aber dass einige der weltweit beliebtesten Apps deinen Bildschirm permanent überwachen und nicht einmal für ausreichende Sicherheitsvorkehrungen sorgen, ist ein Hammer. Diese Entdeckung hat TechCrunch gemacht – Hollister, Expedia, Air Canada, hotels.com und viele mehr wissen ganz genau, wie du ihre Apps nutzt. Du weißt allerdings nichts von ihrem Treiben …
Author
Veröffentlicher
vpn-blog.de
Logo

Schreibe einen Kommentar

Weitere Artikel

/ Datenschutz
Vom Genlabor in den Knast – DNA im Kampf um Recht und Ordnung

Vom Genlabor in den Knast – DNA im Kampf um Recht und Ordnung

Die Ahnenforschung ist eine feine Sache. Wo Menschen ihre DNS testen lassen, finden sich verschollene Verwandte, da werden unerkannte Krankheiten diagnostiziert und sogar Kriminelle überführt. Aber es gibt auch Schattenseiten und die große Frage: Ist unsere DNA Privatsache? Anonymität vs. Sicherheit der Gemeinschaft im Interessenkonflikt Die wenigsten Menschen haben auch nur annähernd eine Ahnung von ihrer eigenen DNA. Während sie selbst zumeist gerade einmal sagen könnten, wie es um Chromosom X oder Y bestellt ist, wissen Datenbanken längst so gut ...
Weiterlesen …
/ Allgemein
Die Polizei – dein Hacker und Helfer?

Die Polizei – dein Hacker und Helfer?

Wenn es um Recht und Ordnung geht, heiligt manchmal der Zweck die Mittel. Böse Buben, die mit ihren Komplizen chatten, sollten sich nicht zu sicher sein und damit rechnen, dass es sich um ein Fake-Profil handeln könnte und sie soeben mit einem Ermittler ihren neuesten Coup planen. Unkonventionelle Ermittlungsmethoden Das Prinzip ist zunächst recht einfach, nach dem Polizei und Geheimdienste mitunter arbeiten. Sie lassen Verbrecher in die Falle laufen, indem sie zum Beispiel die Identität eines Mittäters annehmen. Nicht wirklich ...
Weiterlesen …
/ Allgemein
SIS II: Zunahme der heimlichen Fahndungen steigt

SIS II: Zunahme der heimlichen Fahndungen steigt

SIS steht für Schengener Informationssystem. SIS II ist die zweite Generation dieses Grundsystems. In der Praxis  besteht es seit dem 26. März 1995. SIS II wurde 2013 in Betrieb genommen. Es enthält Ausschreibungen zu Personen und Sachen im Schengen-Raum. Hier geht es ganz einfach um Menschen oder Dinge, die gesucht werden und zu diesem Zwecke in einem gemeinsamen System erfasst wurden. Wenn die linke Hand nicht weiß, was die rechte sucht, wird der, die oder das Gesuchte vielleicht für immer  ...
Weiterlesen …
/ Anwendungen
China in your hand: Im Land des Lächelns sind VPNs sehr beliebt! Ist das legal?

China in your hand: Im Land des Lächelns sind VPNs sehr beliebt! Ist das legal?

Die Antwort ist ganz einfach. In China sind sämtliche VPNs verboten, die nicht von der Regierung genehmigt wurden. Das Land des Lächelns zaubert auch hier ein Lächeln in jedes Gesicht. Da wird ordentlich dafür gesorgt, dass jedes Herz im Rhythmus der Zensur schlägt und dann, als VPN plötzlich ein Licht am Ende des Tunnels bietet und ein Hauch von Freiheit und Privatsphäre im Raum steht, taucht da ein Gesetz auf. Am 31. März wurde die Illusion sozusagen zerstört, denn ein ...
Weiterlesen …
Wird geladen...