Datenschutz-Lücke bei Apple

apple_logo Eine interessante Studie der Bucknell University (Pennsylvania) belegt, dass iOS-Apps in etlichen Fällen Daten ohne Nutzen für die Funktionalität der App und ohne Wissen des Nutzers versenden – und dies manchmal sogar unverschlüsselt. Die Apps haben dabei Zugriff auf Nutzerdaten, die Rückschlüsse auf die Identität eines Users zulassen.

Eric Smith, stellvertretender Direktor für Informationssicherheit und Netzwerke an der Bucknell University und Verfasser der Studie, untersucht die Bedeutung des Unique Device Identifier (UDID), also der eindeutigen Seriennummer, die jedes iPhone besitzt. Über diese können auch die User bzw. ihr Nutzungsverhalten identifiziert werden, was bei Apps sinnvoll und gewollt sein kann, wenn es beispielsweise um Highscores oder ähnliches geht. Gleichzeitig kann der UDID aber auch eingesetzt werden, um weitere Daten über Nutzer zu sammeln und zusammenzuführen.

Smith untersuchte die Top 25 der kostenlosen Apps sowie weitere Apps mit den Merkmalen neu und kostenlos. In 68 Prozent der Fälle wurde der UDID durch die App versendet – meist SSL-verschüsselt, aber eben nicht immer. Und dabei bleibt es nicht: In vielen Fällen wurden weitere Daten versendet, zum Teil ohne Wissen des Nutzers und ohne dass diese Informationen notwendig für die Funktionalität der App wären. “Browsing-Vorlieben, App-Nutzung und der gegenwärtige Aufenthaltsort lassen sich technisch recht einfach an dritte Personen weiterreichen oder verkaufen”, heißt es in der Studie. “Datenschutzfachleute, User und Administratoren sollten beunruhigt sein.”

“Apple gibt den Usern kein Werkzeug an die Hand, um “Cookies” der Apps zu löschen oder die Anzeige des UDID gegenüber Apps zu blockieren”, stellt Smith in seinem Fazit fest und urteilt: “iPhone-Nutzer haben keine Chance, dieses Informationsleck auf ihrem Telefon zu schließen.” Viele der untersuchten Gratis-Apps standen in direkter Verbindung mit Werbe-Netzwerken. Die dabei auftretenden Muster lassen laut Smith darauf schließen, dass einige wenige Unternehmen den in-App-Werbemarkt kontrollieren.

Download der Studie (PDF)

Autor: menace, veröffentlicht am: 5. 10. 2010

Kategorien: iPad Programmierung, iPhone Programmierung

Tags: Admin, App Programmierung, Apple, Apps, Bucknell University, Datenschutz, Encryption, Entwickler, Eric Smith, Free Apps, Highscore, iOS, iPad Programmierung, iPhone, iPhone Programmierung, Leaderboard, Security, Smartphone, SSL, UDID, USA

« iPass auch für Android verfügbar

Universeller Ladestecker f. iPhone u. iPad »