Zapp: Medienapps schnüffeln Nutzergerätedaten aus

[Christoph]

Zitat:

Laut einem Bericht des NDR-Medienmagazins Zapp geben iOS-Apps von Zeitungen, Zeitschriften, Fernseh- und Radiosendern oft Anwenderdaten an die App-Hersteller, Rundfunkanstalten, Verlagshäuser oder sogar Dritte wie Facebook heraus. Insbesondere das Auslesen der Unique Device Identification, der Seriennummer, gilt dabei als kritisch: Dieses Datum soll weltweit einmalig sein. Da mobile Endgeräte oft nur von einem einzelnen Nutzer verwendet werden, dürften Datenschützer die UDID als personenbezogenes Datum werten. Notwendig für die Funktionen einer Radio- oder Zeitungsapp ist das Auslesen der UDID nach Ansicht der Zapp-Tester nicht.

Insgesamt testeten die NDR-Reporter fast 150 Anwendungen für Apple-Endgeräte. Dazu ließen sie den Datenverkehr der Apps über einen zwischengeschalteten Proxyserver laufen und analysierten die übermittelten Inhalte. Insgesamt 48 Apps übermittelten die UDID des Gerätes oder einen MD5-Hash davon, darunter zum Beispiel die Radio-App des Saarländischen Rundfunks , die c't-App aus dem Heise Zeitschriften Verlag, die App des Magazins Focus und die App des NDR selbst. Sieben weitere stuften die Zapp-Journalisten als problematisch ein, weil sich wiederholende IDs und Werte mit Bezeichnungen wie "Geräte ID" oder Cookies übermittelt wurden. 38 Apps wurden bei dem Test nicht beanstandet. Sieben Apps wurden aus der laufenden Untersuchung herausgenommen, da sie über den zwischengeschalteten Testproxy nicht einwandfrei funktionierten.

Nachdem die Journalisten die betroffenen Medienhäuser und Rundfunkanstalten zur Stellungnahme baten, reagierten erste bereits und kündigten eine umgehende Überprüfung an. Bei einigen der Apps vermuteten die Zapp-Mitarbeiter, dass anbietende Verlage oder Rundfunkhäuser nicht zwangsläufig vom Verhalten ihrer oft im Auftrag programmierten Apps wussten. Die Zapp-Redaktion wird ihre Testergebnisse sowie eine Beschreibung ihres Vorgehens in ihrem Internetangebot öffentlich machen.

Apple hatte bereits im vergangenen Jahr angekündigt, Apps künftig nicht mehr in seinem Store zuzulassen, die die UDID auslesen. Die Testergebnisse der Zapp-Journalisten deuten nun darauf hin, dass auch Anfang Mai noch viele der iOS-Anwendungen diese Daten übertrugen.

Der Heise Zeitschriften Verlag, der auch heise online herausgibt, erklärte zu den Ergebnissen, die der App-Test der Zapp-Redaktion erbrachte: "Die UDID wird in der c't-App dazu benutzt, das Gerät für das c't-Abonnement zu identifizieren. Die Daten werden zur Verarbeitung im Verlag aber anonymisiert, außerdem werden sie keinesfalls an Dritte weitergegeben. Der Nutzer der App wird beispielsweise in der FAQ zur c't-App, die in der Hilfe verlinkt ist, darauf hingewiesen, dass das Abo an die Nutzung auf maximal 5 Geräten gebunden ist, ansonsten aber kein DRM eingesetzt wird. In der nächsten Version der App wird die Nutzung der UDID zur Abo-Kennung entfernt." (Falk Lüke) / (jk)

Quelle: http://www.heise.de/newsticker/meldu...s-1583409.html

[Christoph]

Zitat:

Apps: Facebook und WhatsApp "sehr kritisch"

Stiftung Warentest warnt vor schlechtem Datenschutz

Die deutschen Produkttester von Stiftung Warentest haben 62 Smartphone-Apps für die Betriebssysteme iOS sowie Android als auch eine Navigations-App für Windows Mobile unter die Lupe genommen. Dabei stellte sich heraus, dass 28 dieser Anwendungen unter datenschutztechnischen Gesichtspunkten als kritisch einzustufen sind. Neun dieser Programme wiederum wurden als "sehr kritisch" eingestuft, darunter WhatsApp, Facebook, Foodspotting, iTranslate und Clever.

Kritisiert wird vor allem, dass diese Apps heikle Personendaten wie eMail, Telefonnummer oder gar Passwörter unverschlüsselt und ungefragt an die Server der Anbieterfirmen übertragen würden. Zudem würde die Datenübertragung teilweise auch ungefragt passieren. Das würde nicht im Sinne des Nutzers, sondern im Sinne der Anbieterfirma passieren. Diese könnten dann Nutzerprofile erstellen und die Daten zu werblichen Zwecken auswerten.

Schon andere Fälle bekannt
In den USA sind aus ähnlichen Gründen die Apps von Path und Hipster in die Kritik gekommen. So wurden ungefragt Adressbuchdaten an die Server der Anbieter gesendet - wofür auch Apple kritisiert wurde. Path etwa musste reagieren und die Funktion aus der App entfernen.

Bei den iOS-Apps von Facebook und Dropbox sind im April ebenfalls Sicherheitslücken bekannt geworden. Und Auch bei WhatsApp sind Sicherheitslücken aufgetaucht, weswegen die App zeitweise nicht im App Store verfügbar war (die futurezone berichtete).

Insgesamt scheint es um den Schutz der Nutzerdaten bei Smartphone-Apps trotz häufiger Kritik seitens Sicherheitsexperten weiterhin schlecht bestellt zu sein.

Quelle: http://futurezone.at/produkte/9260-a...r-kritisch.php