Der Nutzer wird genau beobachtet

iOS-Apps zeichnen heimlich den Bildschirminhalt auf - Update: Reaktion von Apple

Das Magazin Techcrunch hat enthüllt, dass einige populäre iPhone-Apps von Reise-Anbietern, Banken und Airlines den Nutzer ausspionieren, indem sie heimlich Screen-Recordings erstellen. Droht der nächste große Datenskandal? +++ Update: Apple stellt ein Ultimatum an die Entwickler. +++

Apple iOS 11

© Apple

Erstellen iOS-Apps heimlich Screenshots bei der Nutzung?

Jeder App-Entwickler ist an Feedback interessiert und will wissen, wo sich ein Bug versteckt, an welcher Stelle die Nutzerführung hakt und wie die App generell verbessert werden kann. Es gibt Software-Tools, die genau hier ansetzen. In Form von sogenannten “Session Replay Files” zeichnen solche Tools auf, wie die App im Detail genutzt wird, also wann der Anwender auf was tippt. Dabei wird erfasst, was sich auf dem Screen bewegt, wann eine Interaktion mit dem Touchscreen erfolgt. 

Für Websites gibt es ähnliche Tools, man denke nur an die Heatmaps von Google Analytics. Neu ist allerdings, wie detailliert das Nutzerverhalten in Apps analysiert wird. Wie das US-Magazin Techcrunch jetzt mit Hilfe eines App-Sicherheitsexperten (hier geht es zu seiner Website) herausgefunden hat, zeichnen einige populäre iOS-Apps so viele Daten auf, dass man im Nachhinein komplett nachstellen kann, wie eine bestimmte Person die App genutzt hat (hier geht es zum Artikel). Namentlich genannt werden Abercrombie&Fitch, Hotels.com, Singapore Airlines und Air Canada.

Um zu verstehen, wie ihre Apps und Online-Dienstleistungen genutzt werden, haben die genannten Unternehmen die Analysefirma Glassbox beauftragt (zur Website). Deren Slogan lautet “Big Data is tough, we really get it!” und sie werben mit folgendem Satz für ihre Dienste: “Wir vermitteln Ihnen ein tieferes Verständnis von Ihren Kunden, indem wir die Gründe dafür ermitteln, warum diese nicht wie beabsichtigt mit Ihrer Plattform interagieren.”

Tracking-Tools zeichnen sensible Daten auf

Glassbox ist ein Marktforschungsunternehmen, das Nutzungsdaten einer App und/oder Website sammelt, diese auswertet und aufbereitet, um dem Auftraggeber dann Hinweise zu geben, wie die Usability verbessert werden kann. Glassbox benutzt dafür unter anderem Tracking-Tools, die in den Code der App eingearbeitet werden. Mit deren Hilfe werden Session Replay Files erstellt. Die Untersuchungen von Techcrunch legen nahe, dass dafür so viele Daten aufgezeichnet wurden, dass sich sogar sensible Eingaben wie Ausweisnummern oder Kreditkartendaten nachstellen lassen. Anscheinend wurden sogar heimlich Screenshots gemacht.

Die gesammelten Nutzerdaten werden von der App entweder an einen Glassbox-Server gesendet oder direkt an einen Server des Kunden. Glassbox selbst verweist auf hohe Sicherheitsstandards, darauf, dass die Daten verschlüsselt, maskiert, anonymisiert werden. Aber der von Techcrunch zitierte App-Sicherheitsexperte schlussfolgert aus seiner Analyse der App von Air Canada, dass nicht nur Screenshots erstellt wurden, sondern dass auf diesen Screenshots sogar Daten wie die Ausweis- oder Kreditkartennummern lesbar sind. 

“Das gibt jedem Air Canada Mitarbeiter - und jedem anderen, der Zugang zur Datenbank mit den Screenshots hat - Zugang zu unverschlüsselten Ausweis- und Kreditkarteninformationen”, so der App-Experte weiter.

Zusammengefasst lässt sich also festhalten, dass Unternehmen anscheinend viele sensible Daten in ihren Apps erfassen, ohne den Nutzer darüber in Kenntnis zu setzen. Was mit diesen Daten passiert und wie diese vor dem Zugriff Dritter geschützt werden, ist unklar und entzieht sich der Kontrolle.

Es ist nicht ohne Ironie, dass ausgerechnet Apple, das gerne offensiv mit dem Schutz der Privatsphäre wirbt, im Zentrum dieser Affäre steht. Aber daraus sollte man nicht die falschen Schlüsse ziehen. Solche Entwicklertools gibt es auch für Android. Man darf gespannt sein, was da noch rauskommt.

(Originalmeldung vom 7. Februar, 16:09 Uhr)

Update vom 8. Februar, 12:22 Uhr:

Wie Techcrunch schreibt (zum Artikel), hat Apple jetzt alle Entwickler, die Analyse-Tools zum Tracking in ihren Apps implementiert haben, aufgefordert, diese entweder zu entfernen oder die Nutzer ordnungsgemäß darüber aufzuklären. In einer E-Mail an Techcrunch heißt es:

“Der Schutz der Privatsphäre ist im Apple-Ökosystem von größter Bedeutung. In unseren App Store-Überprüfungsrichtlinien ist festgelegt, dass Apps, die Benutzeraktivitäten aufzeichnen, protokollieren oder anderweitig erfassen, die ausdrückliche Zustimmung des Benutzers einholen und vor dem Aufzeichnen eine klare visuelle Kennzeichnung geben müssen.”

Die betroffenen Entwickler seien von Apple angeschrieben worden. Apple gibt ihnen weniger als einen Tag Zeit, um den Tracking-Code zu entfernen und die App einem erneuten Review-Prozess zu unterziehen. Wer dem nicht nachkommt, dessen App wird aus dem Store genommen.

Von Google gibt es bisher keinen Kommentar. Dabei bietet Glassbox seine Dienstleistungen auch für Android-Entwickler an. Die App-Richtlinien (zum Nachlesen) von Google reglementieren das Tracking aber ebenfalls, unter anderem heißt es:

“Apps, bei denen das Verhalten eines Nutzers überwacht oder nachverfolgt wird, dürfen eine solche Nachverfolgung nicht verheimlichen oder verschleiern oder Nutzer im Hinblick auf solche Funktionen täuschen.”

Die Firma Glassbox im Internet

© Screenshot connect

"Imagine if your website or mobile app could see exactly what your customers do in real time, and why they did it? ", heißt es auf der Website von Glassbox.

Mehr zum Thema

Apple Logo
Apple-Event im Live-Ticker

Ist das Jubiläums-iPhone der große Wurf? Was bieten iPhone 8, iPhone X, Apple TV und Watch? Lesen Sie noch einmal den Ablauf der Apple-Präsentation.
Apple iPhone 8 (Plus) Rückkamera
Unsichere iOS-Apps

Bestimmte Werbeanzeigen in iOS-Apps fordern Nutzer auf, Konfigurationsprofile zu installieren. Warum das Risiken bergen kann, erfahren Sie hier.
Apple Siri
Apple Sprachassistent

Apple-Dienstleister, die Aufnahmen von Siri auswerten, hören teils intimie Details. Apple hat jetzt auf die Kritik reagiert und die Praxis ausgesetzt.
Apple iPhone Xs Max
Batterie-Infos gesperrt

iPhone-Nutzer, die ihren Akku nicht direkt bei Apple getauscht haben, erhalten einen Warnhinweis.
Das Original-Apple-Lightning-USB-Kabel
Manipuliertes Kabel kann Apple-Hardware übernehmen

Mit umgebauten Lightning-Kabeln könnten Hacker, die Kontrolle über iPhones, Mac-Computer und andere Geräte erlangen.
Alle Testberichte
Huawei Y7 2019
Übersicht 2019
Vom Einsteiger-Handy bis zum Flaggschiff: Unsere Übersicht listet alle aktuellen Huawei-Smartphones, die den connect Test durchlaufen haben.
Unitymedia Logo Firmensitz
connect Festnetztest 2019
Überraschung: Nachdem die Kölner in den letzten Jahren im Mittelfeld landeten, sind sie diesmal der Sieger im connect Festnetztest 2019.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.