Nutzung von Adressbuchdaten Path-Desaster offenbart iOS-Schwäche

Soziales Netzwerk Path: Nur die Spitze des Eisbergs?
Kaum war die Nachricht in der Welt, versuchte Path-Boss Dave Morin die Wogen zu glätten. Der Software-Entwickler Arun Thampi hatte per Zufall bemerkt, dass die iPhone-App für das soziale Netzwerk Path die kompletten Adressbücher seiner Nutzer auf die Path-Firmenserver hochlädt - ohne vorher um Erlaubnis zu bitten. Morin entschuldigte sich für diesen Fehltritt, erklärte, man habe einen Fehler gemacht. Außerdem habe seine Firma alle auf diese Weise gesammelten Nutzerdaten von ihren Rechnern gelöscht und stelle jetzt ein Update für die App bereit. Die neue Version frage jetzt explizit nach, ob man dem Datentransfer zu Path zustimmt.
So weit, so gut, könnte man meinen. Doch mit dem Path-Update ist es nicht getan, warnt Blogger Dustin Curtis. Es gebe "ein stilles Einvernehmen unter vielen iOS-Entwicklern, dass es völlig akzeptabel sei, das komplette Adressbuch eines Anwenders zu übertragen, ohne dafür zuvor eine Erlaubnis einzuholen". Path sei kein Einzelfall, schreibt Curtis. Vielmehr sei es gängige Praxis, die Adressbücher der Anwender auf die Server des jeweiligen Anbieters hochzuladen.
Er selbst habe 15 Entwickler besonders populärer iOS-Apps gefragt, ob auch sie nach dem Path-Vorbild vorgehen. Dabei hatte er ausschließlich Unternehmen befragt, die eine Funktion anbieten, mit der man seine Freunde im jeweiligen System finden kann. Eine derartige Funktion hatte Path als Argument dafür genannt, das es nötig sei, sich Zugriff zu den Kontaktdaten seiner Kunden zu verschaffen. Nur, wenn man deren Adressbücher verwende, könne man in den eigenen Datenbanken nach deckungsgleichen Angaben, also nach Freunden, suchen.
Curtis' erschreckendes Ergebnis: 13 der 15 befragten Firmen antworteten, sie würden sich ebenfalls der Kunden-Adressbücher bemächtigen, die gesammelten Daten in eigenen Datenbanken speichern.
Es geht auch anders
Neu ist das Problem freilich nicht. Seit Jahren weisen Blogger auf die Lücke in Apples Mobilbetriebssystem hin. Schon 2008 gab es Ärger, als bekannt wurde, dass die Spiele-App "Aurora Feint" das Adressbuch auf ihre Server überträgt. Ähnlich ging die Diktier-App "Dragon Dictation" vor. Hersteller Nuance begründete das damit, man könne auf diese Weise sicherstellen, dass die Software Namen von bekannten Kontakten besser erkennt.
Aber Nuance hat aus der damaligen Kritik an diesem Vorgehen gelernt, weist mittlerweile sehr plakativ auf diesen Datenzugriff hin. Zwar steht alles schon in den mehr als zehn eng beschrieben Bildschirmseiten langen Lizenzbedingungen, die man vor der ersten Benutzung der App abnicken muss - aber wer liest die schon vor dem Fingertippen auf "Akzeptieren"?
Deshalb hat Nuance jetzt eine weitere Seite vorgeschaltet, auf der ausführlich über den Zugriff auf das Adressbuch informiert wird. Hier wird der Anwender auch tatsächlich direkt um Erlaubnis für den Datenzugriff gebeten, mit der Möglichkeit, die Übertragung der Adressdaten abzulehnen.
Das Beispiel zeigt, dass es auch anders geht, als es Path und offenbar viele andere tun. Etwas öffentlicher Druck und der nötige Wille gehören allerdings dazu. Fraglich bleibt, weshalb Apple es nicht längst geschafft hat einen eigenen Schutzmechanismus ins iOS einzubauen. Geht es um andere Daten, wie etwa Fotos, müssen iOS-Apps sich die Datennutzung explizit genehmigen lassen. Warum gilt das ausgerechnet für das persönliche Adressbuch nicht?
Apple wollte sich auf Anfrage von SPIEGEL ONLINE nicht zu der Problematik äußern.