Smartphones als Datenschnüffler Bei Anruf Verrat

Benutzername, Facebook-Profil, GPS-Position: Ein neuseeländischer Programmierer hat entdeckt, wie iPhone-Apps heimlich Daten über den Handybesitzer sammeln. Das tun auch Android-Smartphones - doch anders als bei Apple haben die Google-Geräte eine Datenbremse.

AFP

Von


Das iPhone kann seinen Besitzer verraten. Nicht absichtlich, sondern weil ein Entwickler es so will. So in etwa lässt sich zusammenfassen, was gerade für Besorgnis bei vielen Besitzern des Apple-Handys sorgt. Der Grund für ihre Sorge ist ein Artikel in dem Online-Magazin "Wired", in dem beschrieben wird, wie Apps eine eindeutige Identifikationsnummer, die UDID (Unique Device Identifier), des iPhones beispielsweise mit dem Facebook-Account des Besitzers verknüpfen und so der eindeutigen Gerätenummer einen Namen und weitere persönliche Details aus dem Facebook-Profil zuordnen können. Der "Wired"-Autor bezieht sich dabei auf einen Blog-Eintrag des neuseeländischen Netzwerkspezialisten und Software-Entwicklers Aldo Cortesi.

Entwickler Cortesi erklärt, dass es nicht nur möglich ist, die anonyme UDID mit einer Person zu verknüpfen, sondern dass das bereits getan wird. Mit einer Spezialsoftware, die er selbst entwickelt hat, protokollierte er den Datenverkehr seines iPhones und den einiger Freunde und stellte fest: Apps, die das soziale Netzwerk OpenFeint nutzen (eine Community für Handyspiele), übertragen die Identifikationsnummer des iPhones zusammen mit der Benutzerkennung, der Facebook ID und den letzten aufgezeichneten GPS-Koordinaten des Anwenders an die OpenFeint-Server.

So ließ sich der reale Name des jeweiligen Benutzers (oder zumindest der bei Facebook angegebene Name) nicht nur dessen iPhone, sondern sogar auch dem Standort des Geräts zuordnen.

Das hätte nicht passieren dürfen.

Denn eigentlich sehen es Apples Entwicklervorschriften vor, dass jede App den Anwender vor einer derartigen Datenübertragung um Erlaubnis bitten und erklären muss, welche Daten an wen übertragen werden. Eigentlich sollten Entwickler keine persönlichen Daten mit der UDID eines Gerätes verknüpfen und veröffentlichen, heißt es in Apples Programmierrichtlinien. Und eigentlich sollten Verstöße gegen diese Richtlinie im Rahmen des Prüfverfahrens, das jede App durchlaufen muss, bevor sie in den App Store gestellt wird, entdeckt werden.

Entwickler Aldo Cortesi konnte nachweisen, dass zumindest bei OpenFeint all diese Apple-Sicherheitsmaßnahmen versagt hatten. Apple hat auf eine Anfrage zu dem Sachverhalt geantwortet, man äußere sich nicht dazu.

So will es Apple selbst

Immerhin, das Unternehmen OpenFeint reagierte prompt auf Cortesis Hinweis und stoppte die Übertragung von Facebook-IDs und GPS-Koordinaten. Die Benutzerkennung wird aber weiterhin gemeinsam mit der UDID übermittelt. Diese Verknüpfung lässt sich leicht nachvollziehen, wenn man folgende Abfrage in die Adressleiste seines Browser eingibt und die Zeichenfolge "XXX" durch die UDID seines iPhones ersetzt:

https://api.openfeint.com/users/for_device.xml?udid=XXX

(Wie man die 40-stellige UDID seines iPhones oder iPad herausbekommt, beschreibt Apple selbst. Am einfachsten geht es aber mit entsprechenden Apps. Ein Suche nach "UDID" im App Store fördert Dutzende Helferprogramme zutage.)

Der Selbstversuch zeigt: Zumindest OpenFeint stellt inzwischen keine direkte Verbindung mehr zwischen dem Klarnamen des Anwenders und seinem Smartphone her. Allerdings ist der OpenFeint-Benutzername mit dem Telefon verbunden.

Diese Art der Datenübertragung - UDID und Benutzerkennung - empfiehlt Apple Entwicklern ausdrücklich . Apple begründet das in den Programmierrichtlinien mit Datenschutz:

"Speichern sie Benutzerdaten niemals ausschließlich auf Basis der UDID. Verwenden Sie immer eine Kombination aus UDID und anwendungsbezogener Benutzer-ID. Eine solche kombinierte ID stellt sicher, dass jemand, der ein Gerät von einem anderen Anwender übernimmt, nicht auf dessen Daten zugreifen kann."

Manche Apps übertragen sogar Geschlecht und Alter des Anwenders

Entwarnung kann trotzdem nicht gegeben werden. Dass Cortesi ausgerechnet auf OpenFeint aufmerksam wurde, lässt sich leicht erklären. Vermutlich hat er Spiele auf seinem Apple-Handy installiert, die dieses Netzwerk nutzen. Unklar bleibt aber, ob auch andere Apps die UDID nutzen, um zusätzliche Informationen über Anwender zu sammeln, ohne dass die davon wissen.

Dass es eine ganze Menge solcher Anwendungen geben könnte, lässt ein Bericht des " Wall Street Journal" befürchten, der im Dezember 2010 für Aufregung sorgte. Die Zeitung hatte damals den Datenverkehr von 101 Apps für iPhone und Android auswerten lassen. Das Ergebnis dieser Stichprobe: Mehr als die Hälfte der getesteten Apps übertrugen die Identifikationsnummer des jeweiligen Geräts, viele sendeten zusätzlich die Positionsdaten, einige außerdem Informationen über Alter und Geschlecht des Anwenders. Wenig später wurden mehrere Klagen wegen unerlaubter Nutzung und Weitergabe privater Daten gegen Apple eingereicht.

Interessant sind solche Daten vor allem für Anbieter von Werbung. Um ihre Offerten möglichst effektiv ausliefern zu können, sammeln sie alle Daten über die Anwender, die sie bekommen können. Allein aus der Information, wo jemand wohnt, lässt sich ableiten, in welchem sozialen Umfeld er sich aufhält und wie viel Geld er ungefähr zur Verfügung hat - zumindest statistisch. Kombiniert man das beispielsweise mit Erkenntnissen über Gewohnheiten bei der App-Nutzung (spielt viel, surft auf Reise-Web-Seiten) und der GPS-Positionsangabe, lassen sich Anzeigen zur richtigen Zeit und am richtigen Ort auf dem jeweiligen Handy platzieren.

Löschen per Total Reset

Eine reine Apple-Marotte ist die UDID allerdings nicht. Auch Android-Handys sind über eine Android-ID identifizierbar. Google allerdings verlagert die Verantwortung für den Datenschutz in die Hände der Entwickler und prüft, anders als Apple, die Apps nicht vor der Veröffentlichung im Android Market. Googles einzige Bedingung an die Entwickler: Die App muss den Anwender informieren, auf welche Datenquellen des Handys, also etwa den GPS-Empfänger, sie zugreifen will, und zwar, bevor man sie herunterlädt. Als Android-Anwender hat man also die Wahl: Entweder akzeptiert man die Begehrlichkeiten einer App oder man lädt sie gar nicht auf sein Android-Smartphone.

Noch einen Unterschied gibt es zwischen Googles und Apples Geräte-IDs: Die UDID von iPhone und iPad bleibt immer gleich. Denn sie wird auf Basis der spezifischen Hardware-Konfiguration des jeweiligen Geräts berechnet - jedes iPhone und iPad hat für alle Zeiten dieselbe ID.

Die ID von Android-Geräten hingegen kann der Nutzer ändern. Allerdings nur auf recht brachiale Weise - man muss das Handy auf die Werkseinstellungen zurücksetzen.

Dann wird beim nächsten Einschalten eine neue ID berechnet. Alle Daten, die man bis dahin auf dem Gerät (nicht auf eventuell verwendeten Speicherkarten) gespeichert hatte, gehen dabei verloren. Will man das Gerät dann an einen neuen Besitzer weitergeben - etwa, wenn man es verkauft hat, ist das genau der gewünschte Effekt. Für die Werbeindustrie ist ein solches Handy nach einer derartigen Radikalkur ein unbeschriebenes Blatt, wie ein Neugerät.

Für das iPhone gibt es eine solche Möglichkeit nicht, seine UDID ist unveränderbar, so lange man das Handy benutzt.

insgesamt 99 Beiträge
Alle Kommentare öffnen
Seite 1
senfdazu 11.05.2011
1. Tja..die bösen Apple Jungs.....
Zitat von sysopBenutzername, Facebook-Profil, GPS-Position: Ein neuseeländischer Programmierer hat entdeckt, wie iPhone-Apps heimlich Daten über den Handybesitzer sammeln. Das tun auch Android-Smartphones - doch anders als bei Apple haben die Google-Geräte eine Datenbremse. http://www.spiegel.de/netzwelt/gadgets/0,1518,761735,00.html
...was ist die Aufregung groß, wenn mal wieder über die bösen Dr. Evils und Jobs hergezogen wird. Und nun erweist sich gaaaaanz plötzlich, dass der Umgang mit GPS Daten im Internet ja soooo lax ist...weia ! Immerhin: bei den guten Google-Jungs nur ein klitzekleines Bisschen..... Leute seid vorsichtig,laßt euch bloß nicht beim Fahren mit der U-Bahn filmen ! Ich kann das ganze Gejammer üper die pösen Purschen nicht mehr lesen.......
cor 11.05.2011
2. Ja und?
Bin ich eigentlich der Einzige hier, dem es völlig egal ist ob Daten für Werbungszwecke über ihn gesammelt werden?
govegan! 11.05.2011
3. Mehr Sicherheit auf dem iPhone und den Mac´s !!!
Es ist schon ein Unterschied ob man freiwillig oder wider besseren Wissens seine Daten freigibt. Apple steht in der Verpflichtung die Sicherheitskonzepte für seine Produkte massiv weiterzuentwickeln. Bis heute gibt es keine ausführlichen Möglichkeiten für den einfachen Anwender die Schutzsoftware einzurichten. Virenschutz ist ein Tabu weil der Mythos so groß ist. Aber mittlerweile hat Apple mit seiner Vision des Post-PC, sprich mobiler und einfach zu bedienender Endgeräte neue Kundensparten erreicht die sich nicht mehr mit der Architektur ihrer Rechner beschäftigen. Um weitere Skandale zu vermeiden und um den Mythos nicht vollends zu gefährden müssen die Sicherheitsprotokolle umfangreich überarbeitet werden!
Willi Wacker 11.05.2011
4. hoffentlich
Zitat von corBin ich eigentlich der Einzige hier, dem es völlig egal ist ob Daten für Werbungszwecke über ihn gesammelt werden?
und hoffentlich ist es ALLEN anderen NICHT egal.
sverris 11.05.2011
5. qwer
Zitat von corBin ich eigentlich der Einzige hier, dem es völlig egal ist ob Daten für Werbungszwecke über ihn gesammelt werden?
Spielt keine Rolle, ob es Ihnen egal ist.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.