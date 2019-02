Etliche Apps von bekannten Reise-Anbietern wie Expedia und Hotels.com sowie großen Modemarken wie Hollister und Abercrombie & Fitch sammeln heimlich Daten von Apple-Nutzern - ohne die Anwender darauf hinzuweisen. Mit Screenshots werden die Anbieter offenbar über jede einzelne Wischbewegung informiert.

Das geht aus einem Bericht des Online-Portals "TechCrunch" hervor. Laut dem Magazin erstellt eine Analyse-Software im Auftrag der App-Anbieter in regelmäßigen Abständen ein Bildschirmfoto und schickt die Aufnahmen an einen Server. Mitarbeiter können sich durch die Bewegungsabläufe spulen und nachvollziehen, was sich Nutzer angeschaut haben. Das Problem: Auf den übermittelten Screenshots können auch sensible Daten wie Kreditkartennummern und Passwörter im Klartext zu sehen sein.

Ein Sicherheitsexperte, der den Blog "The App Analyst" betreibt, hatte herausgefunden, dass unter anderem Kanadas größte Fluggesellschaft Air Canada sensible Nutzerdaten unzureichend unkenntlich macht. Einige Textfelder werden demnach nur schlampig geschwärzt, so dass Passnummern, Passwörter und Kreditkartendaten für alle sichtbar sind, die Zugriff auf die Daten haben. Das sind vor allem Mitarbeiter der Unternehmen.

App-Nutzer wurden nicht über heimliche Screenshots informiert

Hinter den Apps verbirgt sich ein Analyseprogramm des Anbieters Glassbox, der ganz offen damit wirbt, Nutzer zu durchleuchten. Auf seiner Website heißt es: "Stellen Sie sich vor, Ihre Website oder mobile App wüsste ganz genau, was Ihre Kunden in Echtzeit tun und warum." Das sei nicht länger eine hypothetische Frage, sondern "eine ganz reale Möglichkeit." Glassbox rechtfertigt die Aufzeichnung unter anderem damit, dass Entwickler damit besser Fehler erkennen und ausbügeln können.

Die App-Nutzer jedoch wurden nicht über die Spitzel-Software auf ihrem iPhone informiert. Weder in den Nutzungsbedingungen noch an sonst einer Stelle wird laut Bericht erwähnt, dass jeder Fingertipp und jede Wischbewegung aufgezeichnet wird.

Apple verbietet App-Anbietern diese Art von Datenzugriff ohne Zustimmung der Nutzer und hat nun reagiert. Laut "TechCrunch" hat Apple die betroffenen Unternehmen darauf hingewiesen, dass die strengen Privatsphäre-Regeln verletzt werden und man "Sofortmaßnahmen ergreife, wenn es nötig sei", teilte ein Konzernsprecher dem Magazin mit. Auch der SPIEGEL erhielt auf Nachfrage Apples Stellungnahme.

Die Unternehmen haben demnach eine Frist von weniger als einem Tag, um den Code anzupassen. Der Sprecher sagte, dass die Apps "ausdrücklich die Zustimmung der Nutzer verlangen und grafisch deutlich erkennbar sein müsse, wenn aufgezeichnet, protokolliert oder auf eine andere Art die Nutzeraktivitäten aufgezeichnet wird".

iOS 12.4.1 stopft mehrere Sicherheitslücken

Die Apps sind derzeit nicht die einzige Baustelle, an der Apple arbeiten muss. Erst in der vergangenen Woche hatte der Konzern die Funktion des Gruppenvideochats bei FaceTime deaktiviert. Aufgrund eines Softwarefehlers war es möglich,andere Apple-Nutzer unbemerkt zu belauschen. Mit der neuen iOS-Version 12.4.1, die am Donnerstag veröffentlicht wurde, ist der Fehler behoben.

Außerdem werden mit dem Update zwei Sicherheitslücken gestopft, die Google-Entwickler entdeckt hatten.

CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day. — Ben Hawkes (@benhawkes) 7. Februar 2019

Über einen provozierten Speicherfehler war es Angreifern demnach möglich, sich zusätzliche Rechte zu sichern und Schadsoftware auf dem iPhone auszuführen.

Die Privatsphäre-Pannen kommen für Apple zu einem ungünstigen Zeitpunkt. Seit Wochen wirbt das Unternehmen massiv damit, dass Daten auf iPhones sicher aufgehoben seien - unter anderem mit Online-Anzeigen und auf der Technikmesse CES in Las Vegas mit einem Plakat, auf dem stand: "Was auf dem iPhone passiert, bleibt auf dem iPhone."