Viele beliebte iPhone Apps überwachen deinen Screen – ohne dich zu fragen!

Es ist nicht weiter erstaunlich, dass die meisten Apps deine Daten sammeln. Manche verkaufen sie sogar ohne dein Wissen. Aber dass einige der weltweit beliebtesten Apps deinen Bildschirm permanent überwachen und nicht einmal für ausreichende Sicherheitsvorkehrungen sorgen, ist ein Hammer. Diese Entdeckung hat TechCrunch gemacht – Hollister, Expedia, Air Canada, hotels.com und viele mehr wissen ganz genau, wie du ihre Apps nutzt. Du weißt allerdings nichts von ihrem Treiben …

Das Tool, dass die Unternehmen in ihren Apps nutzen, nennt sich Glassbox. Wie sich dieses Tool selbst in einem Tweet beschreibt, sagt eigentlich schon alles:

„Stell dir vor, deine Website oder App könnte in Echtzeit genau sehen, was deine Nutzer gerade tun und warum sie es tun. Das ist keine hypothetische Frage mehr, sondern eine echte Möglichkeit. Das ist Glassbox. Erlebe es selbst.“

Nicht ohne, oder? Apps wie Hotels.com, Abercrombie & Fitch oder verwenden allesamt Glassbox. Dabei handelt es sich um eine der wenigen Analyse-Firma, die App-Entwicklern die Integration der „Session Replay“-Technologie ermöglicht. Mit dieser Technologie können die Entwickler den User-Screen sichern und anschließend nochmals wiedergeben.

Jeder deiner Klicks wird aufgezeichnet

Damit sehen sie ganz klar, wie User mit der App interagieren und ggf. Probleme lösen oder Adaptierungen vornehmen. Jeder Klick, jeder Tastenanschlag, jeder Tap wird aufgezeichnet, ein Screenshot angefertigt und an die App-Entwickler retourniert. So die die Langform hinter der getweeteten Kurzform der Glassbox-Erklärung.

Massive Risiken für Daten

Eine solche Möglichkeit birgt natürlich jede Menge Gefahren, für dich, deine Daten und deine Privatsphäre. Und so hat der „App Analyst“ in einer seiner Analysen beliebter Apps auch Folgendes herausgefunden: Die Air Canada-App hatte die Session Replays nicht ordnungsgemäß geschützt, als sie gesendet wurden. Dadurch wurden bei jeder der Sessions Reisepassnummern und sogar Kreditkarten-Daten enthüllt. Eigentlich hätten diese geschwärzt sein sollen. „So können Air Canada-Mitarbeiter – und jeder, der einen Zugang zur Screenshot-Datenbank hat – unverschlüsselte Kreditkarten- und Reisepassinfos einsehen,“ sagt der App Analyst zu TechCrunch.

Dass derartige sensible Daten bei Mitarbeitern der Firmen landen ist eine Sache. Aber es könnte sich natürlich auch ein Hacker in die Verbindung zwischen App und Server einschleichen und diese Daten stehlen. Eine ideale Gelegenheit für Cyberkriminelle!

Daten gehen an Unternehmens- oder Glassbox-Server

TechCrunch wollte der Sache weiter auf den Grund gehen und bat den Sicherheitsexperten, einige Apps, die Glassbox als Referenzen auf seiner Webseite gelistet hat, zu analysieren. Mittel des Man-in-the-middle-Tool Charles Proxy konnte der App Analyst sehen, welche Daten das Gerät verließen. Keine einzige der geprüften Apps gab an, dass sie den User-Screen aufzeichnete. Und schon gar nicht, dass diese Aufzeichnungen an das Unternehmen selbst oder direkt in die Glassbox-Cloud geschickt wurden. Hotels.com oder Expedia beispielsweise sammeln die Daten auf ihrem eigenen Server. Hollister auf Glassbox. Die meisten sensiblen persönlichen Daten waren laut dem Forscher geschwärzt. In manchen Fällen schienen aber E-Mail-Adressen und Postleizahlen auf.

Keine Info in Datenschutzbedingungen

Ohne die Daten jeder einzelnen App zu analysieren ist es unmöglich zu wissen, ob eine App auch speichert, wie ein User die App nutzt. Auch im Kleingedruckten der Datenschutzbedingungen ließ sich nichts finden. Keine der Apps deklarierten die Sammlung von User-Screens. Hotels.com, Expedia oder auch Air Canada und Singapore Airlines halten sich diesbezüglich sehr bedeckt.

Glassbox benötigt weder von Apple noch von den Usern eine Einverständniserklärung. Das heißt, du kannst dir nicht sicher sein, ob deine App-Aktivitäten nicht ausspioniert werden.

Stellungnahme bei Firmen angefragt

TechCrunch fragte bei allen Unternehmen eine Erklärung an, wo in ihren Datenschutzrichtlinien die Erlaubnis zu finden sei, dass die Aktivitäten eines Users auf seinem Handy aufgezeichnet werden dürfen. Abercrombie gab zu, dass Glassbox dabei helfe, dem Kunden ein nahtloses Shopping-Erlebnis zu ermöglichen. Session Replays wurden nicht erwähnt, auch nicht von Hollister.

Air Canada nahm wie folgt Stellung zum TechCrunch-Bericht: „Air Canada verwendet die vom Nutzer zur Verfügung gestellte Information, um sicherzustellen, seine Reisebedürfnisse zu erfüllen und etwaige Problemstellungen rund um seinen Trip zu lösen. Dazu gehören in die Air Canada-App eingegebene und dort gespeicherte Nutzer-Daten. Air Canada nimmt keine Telefon-Screenshots außerhalb der App auf. Es ist dazu gar nicht in der Lage.“

Weitere Session-Replay-Dienste am Markt verfügbar

Expedia gab keinerlei Auskunft. Hotels.com gehört zu diesem Konzern. Glassbox selbst sagte gegenüber TechCrunch, dass es seine Kunden nicht dazu motiviere, die Verwendung des Tools in ihren Datenschutzerklärungen zu erwähnen. Glassbox ist nicht das einzige Session Replay-Service am Markt. So versprechen beispielsweise Appsee und UXCam ähnliche Wundertaten, was das Auslesen von User-Interaktion mit einer App betrifft.

Derartige Vorgehensweisen scheinen Normalität zu sein. Keine der betroffenen Firmen entschuldigte sich. Glassbox wird einfach weiterverwendet, die User nicht informiert – und ihre Daten sowie Userverhalten zumindest ausspioniert, wenn nicht sogar gestohlen. Datenschutz und Userfreundlichkeit sehen anders aus …

Quelle: techcrunch.com; Foto: pixabay.com


Erstellt am:9. Februar 2019

Schreibe einen Kommentar

Weitere Artikel

/ / Datenschutz, Politik
Führt EU Vorratsdatenspeicherung ein?

E-Privacy-Verordnung mit Vorratsdatenspeicherung? Alarm bei Datenschützern

Neben dem Datenschutz ist der EU auch die Sicherheit im Internet ein großes Anliegen. Deswegen bastelt diese auch bereits 2017 an einer entsprechenden Verordnung zur E-Privacy. An sich eine gute Sache, die aber nun vom finnischen Ratsvorsitz verwässert werden soll. Dieser plant nämlich die Erlaubnis der Vorratsdatenspeicherung! E-Privacy für mehr Datenschutz & weniger Tracking Unter anderem setzt die E-Privacy-Verordnung an Messengerdiensten und anderen Online-Kommunikationsmitteln an. Hier soll der Datenschutz verbessert werden. Und auch dem munteren Tracking, das ja fast auf ...
Weiterlesen …
/ / Allgemein, Datenschutz
Polizist mit Bodycam

Bodycam-Videos der Bundespolizei landen nach wie vor auf Amazon-Servern

Amazon & Co haben in Bezug auf Datenschutz nicht gerade das beste Renommee. Entsprechend würde man meinen, dass Behörden nicht unbedingt auf deren Dienste zurückgreifen. Nicht so die deutsche Bundespolizei: Sie speichert ihre Bodycam-Aufnahmen auf Amazon Servern – nach wie vor! Bereits im März diesen Jahres kam es zum großen Knall. Damals wurde bekannt, dass die Bundespolizei Videos ihrer Bodycams auf Servern von Amazon speichert. Das, da es angeblich keine adäquate eigene Infrastruktur gebe. Die Cloudlösung von Amazon hingegen sei ...
Weiterlesen …
/ / Allgemein, Datenschutz
Pass auf deine „alten“ E-Mail-Adressen auf – Betrüger unterwegs!

Pass auf deine „alten“ E-Mail-Adressen auf – Betrüger unterwegs!

Hast du noch E-Mail-Adressen, die du schon längst nicht mehr nutzt? Dann ist diese Warnung des Bundeskriminalamts für dich wesentlich: Momentan kapern Cyber-Kriminelle nicht mehr genutzte E-Mail-Adressen und erschleichen sich damit den Zugang zu Social Media-Accounts & Co! Wir sagen dir, wie du dich vor dieser neuen Betrugsmasche schützen kannst! In deinen persönlichen Accounts finden sich meist wichtige persönliche Daten und andere Infos. Und die sollen auch persönlich bleiben. Leider gibt es aber viele Risiken für deine Privatsphäre. Eine neue ...
Weiterlesen …
Google Chrome Fehler mit Warnstufe "hoch" behoben

Google Chrome Fehler mit Warnstufe „hoch“ behoben

Das Neue Update des Google Chrome Browsers ist da und sollte unbedingt sofort gemacht werden, denn Fehler wurden behoben! Prinzipiell geschieht das automatisch, außer man hat den Browser seit mehreren Tagen nicht mehr neu gestartet. Version 78.0.3904.87 - Zwei schwere Lücken behoben Einen häufig vorkommenden Bug, genannt: "Use-After-Free" hat man bereits behoben. Dieser wurde am 29. Oktober 2019 von einem Sicherheitsforscher von Kaspersky entdeckt und sofort gemeldet und breits zwei Tage später war das Update bereits fertig. Bei diesem Bug ...
Weiterlesen …
Wird geladen...