Apple und die Adressbuch-kopierenden iOS-Apps

Holger Eilhard
2

Nachdem die App des sozialen Netzwerks Path vor einer Woche der unbemerkten Adressbuch-Kopiererei überführt wurde, gibt es mittlerweile noch eine Reihe weiterer Apps, die sich dieser Art der Datenbeschaffung bedient haben.

Apple und die Adressbuch-kopierenden iOS-Apps

Mit Hilfe des Open-Source-Tools mitmproxy und Charles haben sich unter anderem der Tapbots-Entwickler Paul Haddad und auch die Kollegen von The Verge und Venture Beat weitere iOS-Apps näher angesehen. Dabei wurde vor allem untersucht, ob und wie die Apps auf die Adressbuchdaten der Nutzer zugreifen.

Path greift weiterhin auf die Daten der Nutzer zu, warnt seit den letzten Updates aber vorher, dass es auf das Adressbuch zugreift. Auch die beliebte Foto-Sharing-App * griff ohne weitere Hinweise für den Nutzer auf die Daten zu, konnte der unrühmlichen Publicity aber entgehen und zeigt seit dem letzten Update ebenfalls einen Warnhinweis an.

Paul Haddad entdeckte, dass auch * die Adressbuch-Kontakte seiner Nutzer beim Anlegen eines neuen Accounts an die eigenen Server übermittelte. Auf der Foursquare-Website wird die Funktion näher erläutert. Die Daten werden nicht als Hash übertragen, aber angeblich auch nicht auf den Servern des Betreibers gespeichert. Speziell letzteres lässt sich jedoch bei keiner App ausschließen – hier muss man den Entwicklern entweder vertrauen oder im Zweifelsfall auf die App verzichten. In einer neuen Version von Foursquare erscheint auch hier nun eine Popup, welches die Nutzung der Adressbuch-Kontakte näher erläutert.

Ebenfalls betroffen ist die *. Hier muss man jedoch für den Abgleich einen Button berühren. Ein Update soll die Beschreibung der Funktion innerhalb der App weiter verdeutlichen. Einmal hochgeladen werden die Daten jedoch nicht etwa wieder gelöscht, sondern für bis zu 18 Monate gespeichert. Wer die Daten manuell löschen will kann dies über die Twitter-Website tun.

Weitere Apps, welche die Daten nur auf ausdrücklichen Wunsch an die Betreiber senden, sind Facebook, LinkedIn, Gowalla und Foodspotting. Letztere überträgt die Daten sogar über eine unverschlüsselte HTTP-Verbindung. Ein Update der App soll jedoch in Kürze erscheinen.

Auch die beliebten Spiele * und * können die Adressbuchdaten der Spieler hochladen. Hier muss man jedoch ebenfalls explizit den Wunsch dazu äußern.

Gewarnt werden Nutzer der bereits beschriebenen Apps Instagram, Path und Hipster. *-Entwickler Marco Arment hatte bereits kurz nach dem Path-Fiasko die Nutzung der Adressbuch-Daten in seiner App beschrieben. Er verglich den Zugriff auf die Adressbuchdaten seiner Nutzer mit dem Wühlen in der Unterwäsche und forderte Apple ebenfalls dazu auf, dem ungehinderten Zugriff einen Riegel vorzuschieben. Über Twitter diskutierte er wenig später, welche Wortwahl für den iOS-Dialog am geeignetsten wäre.

Viele Apps mit integrierter Social-Network-Unterstützung bekamen unterdessen das grüne Licht. Laut The Verge gehören unter anderem Color, Flipboard, Google+, Meebo, Pandora, Pinterest, Rdio, Shazam, Skype und TripIt zu den Apps, die anscheinend keine unerwünschten Daten-Lecks besitzen.

Auch wenn sich die Kritik mehrheitlich gegen Path gerichtet hat, ist auch Apple an dem Dilemma nicht ganz unschuldig. Die Chancen stehen also gut, dass Apple sich die Diskussionen der vergangenen Tage zu Herzen nimmt und einen Warnhinweis in einer kommenden iOS-Version integrieren wird, so wie es auch schon bei der Frage nach dem Standort der Fall ist. Update: Apple hat soeben bekannt gegeben, dass es eine derartige Änderung in einer kommenden iOS-Version geben werde.

Auch zwei Mitglieder des US-Kongresses haben heute einen offenen Brief an Apple geschickt mit der Bitte um die Erläuterung der Geschehnisse. Konkret werden Antworten auf die folgenden Fragen gefordert:

1. Please describe all iOS App Guidelines that concern criteria related to the privacy and security of data that will be accessed or transmitted by an app.
2. Please describe how you determine whether an app meets those criteria.
3. What data do you consider to be “data about a user“ that is subject to the requirement that the app obtain the user's consent before it is transmitted?
4. To the extent not addressed in the response to question 2, please describe how you determine whether an app will transmit “data about a user“ and whether the consent requirement has been met.
5. How many iOS apps in the U.S. iTunes Store transmit “data about a user“?
6. Do you consider the contents of the address book to be “data about a user“?
7. Do you consider the contents of the address book to be data of the contact? If not, please explain why not. Please explain how you protect the privacy and security interests of that contact in his or her information.
8. How many iOS apps in the U.S. iTunes Store transmit information from the address book? How many of those ask for the user's consent before transmitting their contacts' information?
9. You have built into your devices the ability to turn off in one place the transmission of location information entirely or on an app-by-app basis. Please explain why you have not done the same for address book information.

Weitere Themen: Path

Neue Artikel von GIGA APPLE

GIGA Marktplatz