Es ist nicht weiter erstaunlich, dass die meisten Apps deine Daten sammeln. Manche verkaufen sie sogar ohne dein Wissen. Aber dass einige der weltweit beliebtesten Apps deinen Bildschirm permanent überwachen und nicht einmal für ausreichende Sicherheitsvorkehrungen sorgen, ist ein Hammer. Diese Entdeckung hat TechCrunch gemacht – Hollister, Expedia, Air Canada, hotels.com und viele mehr wissen ganz genau, wie du ihre Apps nutzt. Du weißt allerdings nichts von ihrem Treiben …
Das Tool, dass die Unternehmen in ihren Apps nutzen, nennt sich Glassbox. Wie sich dieses Tool selbst in einem Tweet beschreibt, sagt eigentlich schon alles:
„Stell dir vor, deine Website oder App könnte in Echtzeit genau sehen, was deine Nutzer gerade tun und warum sie es tun. Das ist keine hypothetische Frage mehr, sondern eine echte Möglichkeit. Das ist Glassbox. Erlebe es selbst.“
Nicht ohne, oder? Apps wie Hotels.com, Abercrombie & Fitch oder verwenden allesamt Glassbox. Dabei handelt es sich um eine der wenigen Analyse-Firma, die App-Entwicklern die Integration der „Session Replay“-Technologie ermöglicht. Mit dieser Technologie können die Entwickler den User-Screen sichern und anschließend nochmals wiedergeben.
Jeder deiner Klicks wird aufgezeichnet
Damit sehen sie ganz klar, wie User mit der App interagieren und ggf. Probleme lösen oder Adaptierungen vornehmen. Jeder Klick, jeder Tastenanschlag, jeder Tap wird aufgezeichnet, ein Screenshot angefertigt und an die App-Entwickler retourniert. So die die Langform hinter der getweeteten Kurzform der Glassbox-Erklärung.
Massive Risiken für Daten
Eine solche Möglichkeit birgt natürlich jede Menge Gefahren, für dich, deine Daten und deine Privatsphäre. Und so hat der „App Analyst“ in einer seiner Analysen beliebter Apps auch Folgendes herausgefunden: Die Air Canada-App hatte die Session Replays nicht ordnungsgemäß geschützt, als sie gesendet wurden. Dadurch wurden bei jeder der Sessions Reisepassnummern und sogar Kreditkarten-Daten enthüllt. Eigentlich hätten diese geschwärzt sein sollen. „So können Air Canada-Mitarbeiter – und jeder, der einen Zugang zur Screenshot-Datenbank hat – unverschlüsselte Kreditkarten- und Reisepassinfos einsehen,“ sagt der App Analyst zu TechCrunch.
Dass derartige sensible Daten bei Mitarbeitern der Firmen landen ist eine Sache. Aber es könnte sich natürlich auch ein Hacker in die Verbindung zwischen App und Server einschleichen und diese Daten stehlen. Eine ideale Gelegenheit für Cyberkriminelle!
Daten gehen an Unternehmens- oder Glassbox-Server
TechCrunch wollte der Sache weiter auf den Grund gehen und bat den Sicherheitsexperten, einige Apps, die Glassbox als Referenzen auf seiner Webseite gelistet hat, zu analysieren. Mittel des Man-in-the-middle-Tool Charles Proxy konnte der App Analyst sehen, welche Daten das Gerät verließen. Keine einzige der geprüften Apps gab an, dass sie den User-Screen aufzeichnete. Und schon gar nicht, dass diese Aufzeichnungen an das Unternehmen selbst oder direkt in die Glassbox-Cloud geschickt wurden. Hotels.com oder Expedia beispielsweise sammeln die Daten auf ihrem eigenen Server. Hollister auf Glassbox. Die meisten sensiblen persönlichen Daten waren laut dem Forscher geschwärzt. In manchen Fällen schienen aber E-Mail-Adressen und Postleizahlen auf.
Keine Info in Datenschutzbedingungen
Ohne die Daten jeder einzelnen App zu analysieren ist es unmöglich zu wissen, ob eine App auch speichert, wie ein User die App nutzt. Auch im Kleingedruckten der Datenschutzbedingungen ließ sich nichts finden. Keine der Apps deklarierten die Sammlung von User-Screens. Hotels.com, Expedia oder auch Air Canada und Singapore Airlines halten sich diesbezüglich sehr bedeckt.
Glassbox benötigt weder von Apple noch von den Usern eine Einverständniserklärung. Das heißt, du kannst dir nicht sicher sein, ob deine App-Aktivitäten nicht ausspioniert werden.
Stellungnahme bei Firmen angefragt
TechCrunch fragte bei allen Unternehmen eine Erklärung an, wo in ihren Datenschutzrichtlinien die Erlaubnis zu finden sei, dass die Aktivitäten eines Users auf seinem Handy aufgezeichnet werden dürfen. Abercrombie gab zu, dass Glassbox dabei helfe, dem Kunden ein nahtloses Shopping-Erlebnis zu ermöglichen. Session Replays wurden nicht erwähnt, auch nicht von Hollister.
Air Canada nahm wie folgt Stellung zum TechCrunch-Bericht: „Air Canada verwendet die vom Nutzer zur Verfügung gestellte Information, um sicherzustellen, seine Reisebedürfnisse zu erfüllen und etwaige Problemstellungen rund um seinen Trip zu lösen. Dazu gehören in die Air Canada-App eingegebene und dort gespeicherte Nutzer-Daten. Air Canada nimmt keine Telefon-Screenshots außerhalb der App auf. Es ist dazu gar nicht in der Lage.“
Weitere Session-Replay-Dienste am Markt verfügbar
Expedia gab keinerlei Auskunft. Hotels.com gehört zu diesem Konzern. Glassbox selbst sagte gegenüber TechCrunch, dass es seine Kunden nicht dazu motiviere, die Verwendung des Tools in ihren Datenschutzerklärungen zu erwähnen. Glassbox ist nicht das einzige Session Replay-Service am Markt. So versprechen beispielsweise Appsee und UXCam ähnliche Wundertaten, was das Auslesen von User-Interaktion mit einer App betrifft.
Derartige Vorgehensweisen scheinen Normalität zu sein. Keine der betroffenen Firmen entschuldigte sich. Glassbox wird einfach weiterverwendet, die User nicht informiert – und ihre Daten sowie Userverhalten zumindest ausspioniert, wenn nicht sogar gestohlen. Datenschutz und Userfreundlichkeit sehen anders aus …
Quelle: techcrunch.com; Foto: pixabay.com
Erstellt am: 9. Februar 2019
