Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Smartphones als Datenschnüffler: Bei Anruf Verrat

Von

Benutzername, Facebook-Profil, GPS-Position: Ein neuseeländischer Programmierer hat entdeckt, wie iPhone-Apps heimlich Daten über den Handybesitzer sammeln. Das tun auch Android-Smartphones - doch anders als bei Apple haben die Google-Geräte eine Datenbremse.

Daten-Verrat: Wie Web-Anbieter Handy-Nutzer erkennen Fotos
AFP

Das iPhone kann seinen Besitzer verraten. Nicht absichtlich, sondern weil ein Entwickler es so will. So in etwa lässt sich zusammenfassen, was gerade für Besorgnis bei vielen Besitzern des Apple-Handys sorgt. Der Grund für ihre Sorge ist ein Artikel in dem Online-Magazin "Wired", in dem beschrieben wird, wie Apps eine eindeutige Identifikationsnummer, die UDID (Unique Device Identifier), des iPhones beispielsweise mit dem Facebook-Account des Besitzers verknüpfen und so der eindeutigen Gerätenummer einen Namen und weitere persönliche Details aus dem Facebook-Profil zuordnen können. Der "Wired"-Autor bezieht sich dabei auf einen Blog-Eintrag des neuseeländischen Netzwerkspezialisten und Software-Entwicklers Aldo Cortesi.

Entwickler Cortesi erklärt, dass es nicht nur möglich ist, die anonyme UDID mit einer Person zu verknüpfen, sondern dass das bereits getan wird. Mit einer Spezialsoftware, die er selbst entwickelt hat, protokollierte er den Datenverkehr seines iPhones und den einiger Freunde und stellte fest: Apps, die das soziale Netzwerk OpenFeint nutzen (eine Community für Handyspiele), übertragen die Identifikationsnummer des iPhones zusammen mit der Benutzerkennung, der Facebook ID und den letzten aufgezeichneten GPS-Koordinaten des Anwenders an die OpenFeint-Server.

So ließ sich der reale Name des jeweiligen Benutzers (oder zumindest der bei Facebook angegebene Name) nicht nur dessen iPhone, sondern sogar auch dem Standort des Geräts zuordnen.

Das hätte nicht passieren dürfen.

Denn eigentlich sehen es Apples Entwicklervorschriften vor, dass jede App den Anwender vor einer derartigen Datenübertragung um Erlaubnis bitten und erklären muss, welche Daten an wen übertragen werden. Eigentlich sollten Entwickler keine persönlichen Daten mit der UDID eines Gerätes verknüpfen und veröffentlichen, heißt es in Apples Programmierrichtlinien. Und eigentlich sollten Verstöße gegen diese Richtlinie im Rahmen des Prüfverfahrens, das jede App durchlaufen muss, bevor sie in den App Store gestellt wird, entdeckt werden.

Entwickler Aldo Cortesi konnte nachweisen, dass zumindest bei OpenFeint all diese Apple-Sicherheitsmaßnahmen versagt hatten. Apple hat auf eine Anfrage zu dem Sachverhalt geantwortet, man äußere sich nicht dazu.

So will es Apple selbst

Immerhin, das Unternehmen OpenFeint reagierte prompt auf Cortesis Hinweis und stoppte die Übertragung von Facebook-IDs und GPS-Koordinaten. Die Benutzerkennung wird aber weiterhin gemeinsam mit der UDID übermittelt. Diese Verknüpfung lässt sich leicht nachvollziehen, wenn man folgende Abfrage in die Adressleiste seines Browser eingibt und die Zeichenfolge "XXX" durch die UDID seines iPhones ersetzt:

https://api.openfeint.com/users/for_device.xml?udid=XXX

(Wie man die 40-stellige UDID seines iPhones oder iPad herausbekommt, beschreibt Apple selbst. Am einfachsten geht es aber mit entsprechenden Apps. Ein Suche nach "UDID" im App Store fördert Dutzende Helferprogramme zutage.)

Der Selbstversuch zeigt: Zumindest OpenFeint stellt inzwischen keine direkte Verbindung mehr zwischen dem Klarnamen des Anwenders und seinem Smartphone her. Allerdings ist der OpenFeint-Benutzername mit dem Telefon verbunden.

Diese Art der Datenübertragung - UDID und Benutzerkennung - empfiehlt Apple Entwicklern ausdrücklich . Apple begründet das in den Programmierrichtlinien mit Datenschutz:

"Speichern sie Benutzerdaten niemals ausschließlich auf Basis der UDID. Verwenden Sie immer eine Kombination aus UDID und anwendungsbezogener Benutzer-ID. Eine solche kombinierte ID stellt sicher, dass jemand, der ein Gerät von einem anderen Anwender übernimmt, nicht auf dessen Daten zugreifen kann."

Manche Apps übertragen sogar Geschlecht und Alter des Anwenders

Entwarnung kann trotzdem nicht gegeben werden. Dass Cortesi ausgerechnet auf OpenFeint aufmerksam wurde, lässt sich leicht erklären. Vermutlich hat er Spiele auf seinem Apple-Handy installiert, die dieses Netzwerk nutzen. Unklar bleibt aber, ob auch andere Apps die UDID nutzen, um zusätzliche Informationen über Anwender zu sammeln, ohne dass die davon wissen.

Dass es eine ganze Menge solcher Anwendungen geben könnte, lässt ein Bericht des " Wall Street Journal" befürchten, der im Dezember 2010 für Aufregung sorgte. Die Zeitung hatte damals den Datenverkehr von 101 Apps für iPhone und Android auswerten lassen. Das Ergebnis dieser Stichprobe: Mehr als die Hälfte der getesteten Apps übertrugen die Identifikationsnummer des jeweiligen Geräts, viele sendeten zusätzlich die Positionsdaten, einige außerdem Informationen über Alter und Geschlecht des Anwenders. Wenig später wurden mehrere Klagen wegen unerlaubter Nutzung und Weitergabe privater Daten gegen Apple eingereicht.

Interessant sind solche Daten vor allem für Anbieter von Werbung. Um ihre Offerten möglichst effektiv ausliefern zu können, sammeln sie alle Daten über die Anwender, die sie bekommen können. Allein aus der Information, wo jemand wohnt, lässt sich ableiten, in welchem sozialen Umfeld er sich aufhält und wie viel Geld er ungefähr zur Verfügung hat - zumindest statistisch. Kombiniert man das beispielsweise mit Erkenntnissen über Gewohnheiten bei der App-Nutzung (spielt viel, surft auf Reise-Web-Seiten) und der GPS-Positionsangabe, lassen sich Anzeigen zur richtigen Zeit und am richtigen Ort auf dem jeweiligen Handy platzieren.

Löschen per Total Reset

Eine reine Apple-Marotte ist die UDID allerdings nicht. Auch Android-Handys sind über eine Android-ID identifizierbar. Google allerdings verlagert die Verantwortung für den Datenschutz in die Hände der Entwickler und prüft, anders als Apple, die Apps nicht vor der Veröffentlichung im Android Market. Googles einzige Bedingung an die Entwickler: Die App muss den Anwender informieren, auf welche Datenquellen des Handys, also etwa den GPS-Empfänger, sie zugreifen will, und zwar, bevor man sie herunterlädt. Als Android-Anwender hat man also die Wahl: Entweder akzeptiert man die Begehrlichkeiten einer App oder man lädt sie gar nicht auf sein Android-Smartphone.

Noch einen Unterschied gibt es zwischen Googles und Apples Geräte-IDs: Die UDID von iPhone und iPad bleibt immer gleich. Denn sie wird auf Basis der spezifischen Hardware-Konfiguration des jeweiligen Geräts berechnet - jedes iPhone und iPad hat für alle Zeiten dieselbe ID.

Die ID von Android-Geräten hingegen kann der Nutzer ändern. Allerdings nur auf recht brachiale Weise - man muss das Handy auf die Werkseinstellungen zurücksetzen.

Dann wird beim nächsten Einschalten eine neue ID berechnet. Alle Daten, die man bis dahin auf dem Gerät (nicht auf eventuell verwendeten Speicherkarten) gespeichert hatte, gehen dabei verloren. Will man das Gerät dann an einen neuen Besitzer weitergeben - etwa, wenn man es verkauft hat, ist das genau der gewünschte Effekt. Für die Werbeindustrie ist ein solches Handy nach einer derartigen Radikalkur ein unbeschriebenes Blatt, wie ein Neugerät.

Für das iPhone gibt es eine solche Möglichkeit nicht, seine UDID ist unveränderbar, so lange man das Handy benutzt.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 99 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Tja..die bösen Apple Jungs.....
senfdazu 11.05.2011
Zitat von sysopBenutzername, Facebook-Profil, GPS-Position: Ein neuseeländischer Programmierer hat entdeckt, wie iPhone-Apps heimlich Daten über den Handybesitzer sammeln. Das tun auch Android-Smartphones - doch anders als bei Apple haben die Google-Geräte eine Datenbremse. http://www.spiegel.de/netzwelt/gadgets/0,1518,761735,00.html
...was ist die Aufregung groß, wenn mal wieder über die bösen Dr. Evils und Jobs hergezogen wird. Und nun erweist sich gaaaaanz plötzlich, dass der Umgang mit GPS Daten im Internet ja soooo lax ist...weia ! Immerhin: bei den guten Google-Jungs nur ein klitzekleines Bisschen..... Leute seid vorsichtig,laßt euch bloß nicht beim Fahren mit der U-Bahn filmen ! Ich kann das ganze Gejammer üper die pösen Purschen nicht mehr lesen.......
2. Ja und?
cor 11.05.2011
Bin ich eigentlich der Einzige hier, dem es völlig egal ist ob Daten für Werbungszwecke über ihn gesammelt werden?
3. Mehr Sicherheit auf dem iPhone und den Mac´s !!!
govegan! 11.05.2011
Es ist schon ein Unterschied ob man freiwillig oder wider besseren Wissens seine Daten freigibt. Apple steht in der Verpflichtung die Sicherheitskonzepte für seine Produkte massiv weiterzuentwickeln. Bis heute gibt es keine ausführlichen Möglichkeiten für den einfachen Anwender die Schutzsoftware einzurichten. Virenschutz ist ein Tabu weil der Mythos so groß ist. Aber mittlerweile hat Apple mit seiner Vision des Post-PC, sprich mobiler und einfach zu bedienender Endgeräte neue Kundensparten erreicht die sich nicht mehr mit der Architektur ihrer Rechner beschäftigen. Um weitere Skandale zu vermeiden und um den Mythos nicht vollends zu gefährden müssen die Sicherheitsprotokolle umfangreich überarbeitet werden!
4. hoffentlich
Willi Wacker 11.05.2011
Zitat von corBin ich eigentlich der Einzige hier, dem es völlig egal ist ob Daten für Werbungszwecke über ihn gesammelt werden?
und hoffentlich ist es ALLEN anderen NICHT egal.
5. qwer
sverris 11.05.2011
Zitat von corBin ich eigentlich der Einzige hier, dem es völlig egal ist ob Daten für Werbungszwecke über ihn gesammelt werden?
Spielt keine Rolle, ob es Ihnen egal ist.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Fotostrecke
Geodaten gespeichert: Das iPhone weiß alles

Handy-Anwendungen
Apps
Sogenannte Apps (Applications) sind Software-Anwendungen, die zusätzlich gekauft und dann auf entsprechend ausgestatteten Handys installiert werden können. Sie reichen von der Wasserwaage über Spiele bis hin zu Navigationssystemen fürs Mobiltelefon.
Apple App-Store
Der App-Store der Apple Inc. ist ein Portal, auf dem Programme und Spiele aus dem iTunes-Store für das iPhone heruntergeladen werden können. Der Mac-Konzern war bei diesem Thema Vorreiter. Apple gibt an, dass im April 2010 bereits rund 4 Milliarden Programme aus dem App-Store heruntergeladen worden seien. Aktuell sind rund 185.000 Anwendungen verfügbar, mehr als hunderttausend Entwickler haben sich registriert, um Anwendungen für den App Store entwerfen zu dürfen.
Nokias Ovi-Store
REUTERS
Seit Ende Mai 2009 gibt es auch von Nokia ein Portal, das eine Vielzahl von Programmen für Handys bietet. Im Nokia Ovi-Store können Kunden sich Spiele, Navigationskarten und Nachschlagewerke auf ihre Handys laden. Auch für den Ovi Store können sich externe Entwickler registrieren und versuchen, dort Software anzubieten. Rund 1,6 Millionen Anwendungen sollen dort täglich heruntergeladen werden.
Blackberry App World
Die Blackberry App World ist ebenfalls ein Pendant zum App-Store von Apple. Es ist ein vom Hersteller RIM betriebenes Softwareportal, in dem sich jeder Blackberry Nutzer Software kaufen kann. Die soll dann auf jedem Blackberry-Smartphone mit OS-Version 4.2 oder höher, sowie auf allen Geräte mit Trackball oder Touchscreen laufen. Ähnlich wie beim App-Store kann auch bei Blackberry jeder, der sich dort als solcher anmeldet, theoretisch Entwickler einer Handy-Anwendung werden. Man spricht von rund einer Million Downloads am Tag.
Android Market
AP
Android ist ein Handy-Betriebssystem von Google. Aktuell gibt es im Android Market genannten Downloadshop ungefähr 50.000 verschiedene Anwendungen. Auch hier kann theoretisch jeder eigene Programme entwerfen und anderen Nutzern kostenlos oder zum Kauf zur Verfügung stellen - vorausgesetzt, er registriert sich zunächst als Entwickler.
Fotostrecke
iPhone-Positionsprotokolle: So schützen Sie Ihre Daten vor fremden Blicken

Android-Projekt: Die Vorteile von Googles Handysystem
Große Reichweite
AP
Googles Betriebssystem ist mit vielen mobilen Endgeräten kompatibel. Je mehr Endgerätehersteller sich in Googles Koalition der Willigen befinden, desto größer ist die Reichweite von Android. mehr...
Kostenlose Verwendung
AP
Die Verwendung des Open-Source-Betriebssystems ist im Gegensatz zu anderen mobilen Betriebssystemen kostenlos, die Herstellung mobiler Endgeräte wird dadurch günstiger - die Verwendung von Android damit attraktiver.
Anspruchsvolle Dienste für Jedermann
AP
Experten sprechen Google das Potential zu, den zerfaserten Markt zusammenzuführen. Nutzer ganz unterschiedlicher Endgeräte könnten zukünftig in der Lage sein, mobil auf anspruchsvolle Online-Dienste zuzugreifen. Das Spektrum der verfügbaren Anwendungen wird sich voraussichtlich erweitern. mehr...
Ausweitung der Nutzermarkts
DDP
Online-Dienstleister können dadurch mit höheren Zugriffszahlen und neuen Betätigungsfeldern rechnen, Netzbetreiber mit höheren Auslastungen. mehr...

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: