Viele beliebte iPhone Apps überwachen deinen Screen – ohne dich zu fragen!

Es ist nicht weiter erstaunlich, dass die meisten Apps deine Daten sammeln. Manche verkaufen sie sogar ohne dein Wissen. Aber dass einige der weltweit beliebtesten Apps deinen Bildschirm permanent überwachen und nicht einmal für ausreichende Sicherheitsvorkehrungen sorgen, ist ein Hammer. Diese Entdeckung hat TechCrunch gemacht – Hollister, Expedia, Air Canada, hotels.com und viele mehr wissen ganz genau, wie du ihre Apps nutzt. Du weißt allerdings nichts von ihrem Treiben …

Das Tool, dass die Unternehmen in ihren Apps nutzen, nennt sich Glassbox. Wie sich dieses Tool selbst in einem Tweet beschreibt, sagt eigentlich schon alles:

„Stell dir vor, deine Website oder App könnte in Echtzeit genau sehen, was deine Nutzer gerade tun und warum sie es tun. Das ist keine hypothetische Frage mehr, sondern eine echte Möglichkeit. Das ist Glassbox. Erlebe es selbst.”

Nicht ohne, oder? Apps wie Hotels.com, Abercrombie & Fitch oder verwenden allesamt Glassbox. Dabei handelt es sich um eine der wenigen Analyse-Firma, die App-Entwicklern die Integration der „Session Replay“-Technologie ermöglicht. Mit dieser Technologie können die Entwickler den User-Screen sichern und anschließend nochmals wiedergeben.

Jeder deiner Klicks wird aufgezeichnet

Damit sehen sie ganz klar, wie User mit der App interagieren und ggf. Probleme lösen oder Adaptierungen vornehmen. Jeder Klick, jeder Tastenanschlag, jeder Tap wird aufgezeichnet, ein Screenshot angefertigt und an die App-Entwickler retourniert. So die die Langform hinter der getweeteten Kurzform der Glassbox-Erklärung.

Massive Risiken für Daten

Eine solche Möglichkeit birgt natürlich jede Menge Gefahren, für dich, deine Daten und deine Privatsphäre. Und so hat der „App Analyst“ in einer seiner Analysen beliebter Apps auch Folgendes herausgefunden: Die Air Canada-App hatte die Session Replays nicht ordnungsgemäß geschützt, als sie gesendet wurden. Dadurch wurden bei jeder der Sessions Reisepassnummern und sogar Kreditkarten-Daten enthüllt. Eigentlich hätten diese geschwärzt sein sollen. „So können Air Canada-Mitarbeiter – und jeder, der einen Zugang zur Screenshot-Datenbank hat – unverschlüsselte Kreditkarten- und Reisepassinfos einsehen,“ sagt der App Analyst zu TechCrunch.

Dass derartige sensible Daten bei Mitarbeitern der Firmen landen ist eine Sache. Aber es könnte sich natürlich auch ein Hacker in die Verbindung zwischen App und Server einschleichen und diese Daten stehlen. Eine ideale Gelegenheit für Cyberkriminelle!

Daten gehen an Unternehmens- oder Glassbox-Server

TechCrunch wollte der Sache weiter auf den Grund gehen und bat den Sicherheitsexperten, einige Apps, die Glassbox als Referenzen auf seiner Webseite gelistet hat, zu analysieren. Mittel des Man-in-the-middle-Tool Charles Proxy konnte der App Analyst sehen, welche Daten das Gerät verließen. Keine einzige der geprüften Apps gab an, dass sie den User-Screen aufzeichnete. Und schon gar nicht, dass diese Aufzeichnungen an das Unternehmen selbst oder direkt in die Glassbox-Cloud geschickt wurden. Hotels.com oder Expedia beispielsweise sammeln die Daten auf ihrem eigenen Server. Hollister auf Glassbox. Die meisten sensiblen persönlichen Daten waren laut dem Forscher geschwärzt. In manchen Fällen schienen aber E-Mail-Adressen und Postleizahlen auf.

Keine Info in Datenschutzbedingungen

Ohne die Daten jeder einzelnen App zu analysieren ist es unmöglich zu wissen, ob eine App auch speichert, wie ein User die App nutzt. Auch im Kleingedruckten der Datenschutzbedingungen ließ sich nichts finden. Keine der Apps deklarierten die Sammlung von User-Screens. Hotels.com, Expedia oder auch Air Canada und Singapore Airlines halten sich diesbezüglich sehr bedeckt.

Glassbox benötigt weder von Apple noch von den Usern eine Einverständniserklärung. Das heißt, du kannst dir nicht sicher sein, ob deine App-Aktivitäten nicht ausspioniert werden.

Stellungnahme bei Firmen angefragt

TechCrunch fragte bei allen Unternehmen eine Erklärung an, wo in ihren Datenschutzrichtlinien die Erlaubnis zu finden sei, dass die Aktivitäten eines Users auf seinem Handy aufgezeichnet werden dürfen. Abercrombie gab zu, dass Glassbox dabei helfe, dem Kunden ein nahtloses Shopping-Erlebnis zu ermöglichen. Session Replays wurden nicht erwähnt, auch nicht von Hollister.

Air Canada nahm wie folgt Stellung zum TechCrunch-Bericht: „Air Canada verwendet die vom Nutzer zur Verfügung gestellte Information, um sicherzustellen, seine Reisebedürfnisse zu erfüllen und etwaige Problemstellungen rund um seinen Trip zu lösen. Dazu gehören in die Air Canada-App eingegebene und dort gespeicherte Nutzer-Daten. Air Canada nimmt keine Telefon-Screenshots außerhalb der App auf. Es ist dazu gar nicht in der Lage.“

Weitere Session-Replay-Dienste am Markt verfügbar

Expedia gab keinerlei Auskunft. Hotels.com gehört zu diesem Konzern. Glassbox selbst sagte gegenüber TechCrunch, dass es seine Kunden nicht dazu motiviere, die Verwendung des Tools in ihren Datenschutzerklärungen zu erwähnen. Glassbox ist nicht das einzige Session Replay-Service am Markt. So versprechen beispielsweise Appsee und UXCam ähnliche Wundertaten, was das Auslesen von User-Interaktion mit einer App betrifft.

Derartige Vorgehensweisen scheinen Normalität zu sein. Keine der betroffenen Firmen entschuldigte sich. Glassbox wird einfach weiterverwendet, die User nicht informiert – und ihre Daten sowie Userverhalten zumindest ausspioniert, wenn nicht sogar gestohlen. Datenschutz und Userfreundlichkeit sehen anders aus …

Quelle: techcrunch.com; Foto: pixabay.com


Erstellt am:9. Februar 2019

Schreibe einen Kommentar

Weitere Artikel

/ / Allgemein, Anwendungen
Spionage Apps auf Smartphone

2 Spionage Apps auf vergünstigten US-Smartphones entdeckt

Eigentlich eine nette Sache: US-Bürger, die nicht so viel Geld haben, können Handys zu einem billigeren Preis kaufen. Jetzt kam allerdings heraus, dass auf einem dieser Android-Phones Spionage Malware vorab installiert ist! Die Experten von Malwarebytes haben besagte Handys nach Meldungen von besorgten Usern untersucht. Fündig geworden sind sie auf dem UMX-Einstiegshandy U683CL mit Android-Betriebssystem. Dieses Handy können US-Bürger im Rahmen eines staatlichen Förderungsprogrammes namens „Assurance Wireless“ günstiger erwerben. Ziel des Programmes ist, dass alle Menschen gleichermaßen soziale Netzwerke und ...
Weiterlesen …
/ / Allgemein
WhatsApp Virus?

WhatsApp Virus 2020: Warnung vor „Tobias Mathis“ echt?

Bei Anruf WhatsApp Virus: Unter diesem Motto soll momentan eine WhatsApp-Nachricht ihr Unwesen treiben. In ihr wird davor gewarnt, einen Kontakt namens „Tobias Mathis“ anzurufen, denn dies könnte sogar die gesamte Festplatt des Handys zerstören. Was hat es mit dieser Warnung wirklich auf sich? Die Privatsphäre und Sicherheit unserer Leser liegt uns am Herzen Entsprechend versorgen wir euch auch mit News zu aktuellen Virenwarnungen oder auch Infos zu Leaks. Besagte „Tobias Mathis“ WhatsApp Virus Nachricht ist allerdings mit Vorsicht zu ...
Weiterlesen …
Online-Games und Internet-Chaträume sollen 2020 stärker beobachtet werden

Online-Games und Internet-Chaträume sollen 2020 stärker beobachtet werden

Was ist der Grund für die verstärkte Beobachtung? Am 9. Oktober 2019 wurden zwei Menschen in einem Kebap-Imbiss von einem Attentäter erschossen. Der Schuldige begründete diese Tat mit rechtsextremen und antisemitischen Gründen und teilte seine Tat sogar auf Twitch. Er sprach von Achievements/Erfolgen, wie man sie von Ego-Shooter und anderen Videospielen kennt. Rechtsextreme Personen nutzen diese Chaträume vermehrt, um ihre Propaganda zu verbreiten. Aus diesem Grund soll man Chaträume und Online-Games zukünftig verstärkt überwachen. Das fordert Innenminister Horst Seehofer. Was ...
Weiterlesen …
/ / Allgemein
Neuer Facebook Leak

Facebook Leak: 276 Millionen Userdaten frei zugänglich im Netz

Und wieder einmal macht Facebook Negativ-Schlagzeilen: Der neueste Facebook Leak betrifft Daten von 276 Millionen Nutzern, die in einer Internet-Datenbank gefunden wurden. Für jeden frei zugänglich und sogar mit sensibelsten Daten wie Telefonnummern! Namen, Telefonnummern etc. Bei Facebook wird auch so kurz vor Heilig Abend kein Weihnachtsfrieden einkehren. Denn Sicherheitsforscher Bob Diachenko hat eine beunruhigende Entdeckung gemacht – den neuesten Facebook Leak! 276 Millionen Daten von Facebook Usern hat Diachenko in einer Internet Datenbank gefunden. Nicht nur Facebook IDs, sondern ...
Weiterlesen …
Wird geladen...