Schwatzhafte Smartphones Britische O2-Handys verrieten Handynummern

Wochenlang gaben sich Smartphones der britischen O2-Niederlassung überaus auskunftsfreudig. Jeder Web-Seite, die sie ansteuerten, gaben sie die Telefonnummer des jeweiligen O2-Kunden preis. Zwar hat der Konzern das Problem abgestellt, muss sich jetzt aber harscher Kritik stellen.

O2-Firmensitz in München: Der britische O2-Ableger gestand einen Fehler im System ein
DPA

O2-Firmensitz in München: Der britische O2-Ableger gestand einen Fehler im System ein


Betreiber von Websites, die von britischen O2-Handys aus angesurft wurden, hätten die jeweiligen Websurfer auf deren Handys zurückrufen können: "Vielen Dank für Ihren Besuch." Aufgrund eines Fehlers bei O2 gaben die Smartphones zwei Wochen lang die Handynummern der mobilen Websurfer an die von ihnen angesteuerten Websites weiter.

Der Fall flog auf, als der britische System-Administrator Lewis Peckover Daten auswertet, die ein Smartphone an Webserver überträgt. In diesen Datenpaketen (dem sogenannten HTTP Header und User Agent) sind Informationen enthalten, die einem Webserver mitteilen, über welche Fähigkeiten das eine Web-Seite aufrufende Gerät verfügt. Dazu gehören beispielsweise die Bildschirmauflösung, auswertbare Sensoren, Java-Fähigkeiten und weiteres. Durch Auswertung dieser Daten kann der Webserver die angeforderte Seite dynamisch an die Darstellungsmöglichkeiten des jeweiligen Gerätes anpassen - sie erfüllen also eine wichtige Funktion.

O2 reicherte diesen Daten-Hinweiszettel bei den Handys seiner Kunden allerdings um deren Mobilfunknummer an. Nach O2-Angaben sollte das mehrere Funktionen erfüllen. Die Nummer sollte bestimmten Web-Dienstleistern eine Altersverifikation mobiler Websurfer ermöglichen, ihnen eine Abrechnungsmöglichkeit für Premium-Inhalte an die Hand geben und es O2 selbst ermöglichen, passgenaue Kundendienste anbieten zu können.

Eigentlich hätten nur "vertrauenswürdige Partner" die Mobilfunknummer einsehen können sollen, heißt es in einer Stellungnahme des Mobilfunkkonzerns. Es bestünde aber "die Möglichkeit, dass die Kunden-Rufnummer auch anderen Website-Betreibern bekannt gegeben wurde."

Kontrolle ist besser

Wahrscheinlich ist die großzügige Nummernweitergabe einem technischen Defekt geschuldet, einem unsauber eingestellten Server, der nicht nur den "vertrauenswürdigen Partnern", sondern jedem Website-Betreiber die Handynummer mitteilte. Am 25. Januar 2012, um 14 Uhr Ortszeit, erklärt O2, sei der Fehler behoben worden.

Doch damit dürfte das Thema für O2 nicht ausgestanden sein. Der britische Datenschutz- und IT-Kommissar untersucht den Fall bereits. Britische Internet-Aktivisten sehen in der versehentlichen Weitergabe der Rufnummern ein Beispiel dafür, wie O2 Handydaten analysiert und manipuliert.

Für Collin Mulliner von der TU Berlin dürfte die Nummer mit der Nummer ein alter Hut sein: Schon vor zwei Jahren warnte der Informatiker vor den Privatsphären-Risiken des Handy-Datenverkehrs (CanSec-West-Vortragsmaterialien, Veröffentlichung als PDF).

Sein Urteil: Schutz bieten kann nur ein Mobilfunk-Betreiber, der seine Server Privatsphären-freundlich einstellt. Dem Surfer bleibt es selbst überlasen zu kontrollieren, welche Daten sein Handy ins Netz überträgt - zum Beispiel über Mulliners Website, die Smartphone-Besucher auf etwaige Probleme in ihrem Datenstrom hinweist.

fko

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
zum Forum...
Sagen Sie Ihre Meinung!

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.