Wie Henning Tillmann aktuell in seinem Blog berichtet, hat er durch eine Protokollanalyse der Foursquare iOS-App, einige interessante Dinge herausgefunden. Henning hat den Datenverkehr direkt nach einer Neuanmeldung mitgeschnitten und festegestellt, dass Foursquare ungefragt E-Mail-Adressen und Telefonnummern auf die hauseigenen Server sendet. Ähnlich wie bei WhatsApp, Path und Instagram erfolgt dann ein Abgleich mit der Nutzerdatenbank von Foursquare, um neue Kontakte vorschlagen zu können.
Das Problem dabei ist eigentlich, dass es keinen extra Hinweis gibt, der darauf schließen lässt, dass solch ein Abgleich erfolgt. Bei der Android-Version steht im Android Market und auch vor der Installation immer dabei, welche Berechtigungen eine App benötigt. In diesem Fall ist es:
KONTAKTDATEN LESEN
Ermöglicht einer App, alle auf Ihrem Gerät gespeicherten Kontaktdaten (Adressen) zu lesen. Schädliche Anwendungen können so Ihre Daten an andere senden.
Es liegt dann also sowohl an Foursquare, da man die Nutzer nicht ausreichend darauf hinweist, als auch irgendwie an Apple, da es keine Übersicht über die Berechtigungen einer App gibt.
Damit kein falscher Eindruck entsteht, möchte ich nochmal eindeutig sagen, dass in solchen Fällen nicht eurer Adressebuch auf irgendeinem Server landet. Wenn bestimmte Teile eurer Kontakte zum Abgleich gesendet werden, ist das noch etwas anders, als wenn euer personalisiertes Adressbuch irgendwo komplett online liegt. Ob ihr damit klar kommt, muss natürlich jeder selbst entscheiden.
Naja das wundert mich nicht wirklich … wie sollen denn Dienste wie Foursquare meine Freunde finden … Ob da eine zusätzliche Abfrage eingebaut werden sollte steht ausser Frage, aber wer solche Apps nutzt sollte sich auch darüber im klaren sein das zum Finden seiner Freunde auch die Daten dieser genutzt werden
Ehrlich gesagt dachte ich bisher, dass die das über Twitter/Facebook/etc. machen, eben diese Konten, die man verbinden und freigeben kann.
Da man sich bei foursqaure auch nur per Mail anmelden kann und trotzdem Freunde gefunden werden … ich nehme ungern mein FB-Account für sowas ….
Unter "Freunde finden" wird auch das Adressbuch angezeigt … blöd ist halt das es automatisch übertragen wird ….
Ja, irgendwie muss ein Abgleich erfolgen, wenn man das denn will, nur es sollte natürlich jedem klar sein.
leider ja nichts neues, wie man schon am Beispiel Path gesehen hat
Find ich immer schade, zumal es in Deutschland wohl auch rechtliche Bedenken gibt. Denn wenn die Kontaktdaten hochgeladen werden, werden ja z.B. meine Daten dort hochgeladen, obwohl jemand anderes die App nutzt. Finde ich etwas schwierig einzuordnen das ganze, denn letztlich erhebt eine Firma Daten von mir, mit der ich nichts zu tun hab.
ICh will nicht wissen bei wie vielen Entwiicklern meine Daten schon liegen, aber soo schlimm find ichs persönlich nicht. Da liegt sehr wahrscheinlich eh nur meine Spam-Mailadresse
eMail-Adressen gehen ja gerade weg wie warme Semmel
Die Apps können machen was sie wollen und der User erfährt nicht mal davon. Soviel zur Sicherheit von iOS.
Mich würde interessieren ob sich die Android-App anders verhält, das steht leider in dem Artikel nicht …. Vorher mache ich keine Mutmassungen zur Sicherheit der Systeme.
Fakt ist, bei Android wird der User vorher aufgrund der Berechtigen auf sowas hingewiesen. Auch wenn das sicher viele gedankenlos wegklicken, bei iOS erfährt der User sowas im Zweifelsfall nur aus den Medien.
Wenn man nicht zustimmt, werden die Apps dann trotzdem ohne diese Rechte installiert oder können die dann gar nicht installiert werden ?
Steht auch dabei was die Apps mit den Rechten Daten zu übertragen machen …. ?
Zweimal nein.
das heisst, ich weis das die App Zugriff auf mein Adressbuch haben möchte, wenn ich die App haben möchte muss ich dem zustimmen, weis aber dann nicht was die App mit dem Zugriff anstellt, sprich ob Daten übertragen werden … ?
Ist natürlich super sicher
ich verstehe nicht ganz was du meinst? Der Entwickler programmiert Zugriffe auf dein System ein, die er benötigt, um seine gewünschten Funktionen umzusetzen. Bei Android steht es vor Installation da, bei iOS nicht. Ob du die App nutzt, ist dein Bier. Wenn jeder Nutzer irgendwas weglassen würde (was mit Root z.b. klappt) kann der Entwickler seine App nicht stabil coden, da er ja nicht weiß, was sie überhaupt darf.
Ok, also ist nicht nur das iPhone betroffen.
Klar ist, dass ich bei Android vorab die Rechte lesen kann und bestätige. Aber: wenn da steht, die App kann die Daten lesen, heisst dies für mich nicht automatisch, dass diese auch gesendet werden (müssen). Den Nachsatz "Schädliche Anwendungen können so Ihre Daten an andere senden." verstehe ich als Hinweis, dass "böse" Apps das senden können (können! – nicht zwingend tun). Das was ich mir im Market aussuche sind in der Regel bekannte Apps, die stufe ich ja nicht als "böse" oder "schädlich" ein.
Wenn ich jetzt in der App aktiv auf "Freunde finden" o.ä. klicke, und dann via Hinweis die Info erscheint, das dazu mein Adressbuch (bzw. Teile dessen) an den jeweiligen Anbieter gesandt wird, wäre dies für die Masse der Anwender sicher verständlicher. Man könnte hier auch noch ergänzen, welche Daten jeweil versandt werden.
Dass die Daten dann aber beim Anbieter auch gespeichert werden und bleiben kann man an den Berechtigungen jedoch nicht ablesen.
Meiner Meinung nach bedarf es hier deutlich mehr Transparenz. Also was wird wann an wen versendet, wird es gespeichert und wenn ja, für wie lang und was wird mit en Daten gemacht.
Es ging um die Sicherheit von IOS … Ich habe mich nur gefragt wo der Unterschied zwischen IOS und Android ist. Anscheinend ist es nur die Frage ob ich Zugriff auf mein Adressbuch erlaube … Was dann mit dem Adressbuch passiert weis ich bei Android auch nicht. Sprich es kann genauso die Daten übertragen. War nur zu meinem Verständniss
Es gibt in diesem Fall keinen Unterschied zwischen iOS
und Android. Die Daten (auch das Adressbuch) werden
genauso ohne deine Zustimmung übertragen, auch von
bereits auf deinem Smartphone vorinstallierten Apps ist
das möglich, selbst wenn du diese nie benutzt.
Sicherheit bieten bei Smartphones nur Blackberrys, bei
anderen Systemen (Bada, iOS, Android, WP) musst du
dich leider mit der Ungewissheit abfinden.
Der Unterschied ist, dass du vor der Installation angezeigt bekommst, welche Rechte die App anfordert. Anders gesagt: Du weißt vorher, dass die App bspw. auf dein Adressbuch _und_ aufs Internet zugreifen kann. Bei iOS weißt du genau gar nichts.
Also nicht nur IOS ist davon betroffen :
Nach der Diskussion um den ungebetenen Adressbuchupload durch die Path-App wird die Übertragung von Nutzerdaten durch weitere iOS- und Android-Anwendungen bekannt: Twitter hat gegenüber der Los Angeles Times bestätigt, dass die eigene App ebenfalls Namen, E-Mail-Adressen und Telefonnummern auf Server des Herstellers lädt – und zwar sobald der Nutzer in der App nach Freunden sucht. Die Daten speichert das Unternehmen angeblich für 18 Monate.