Datenmissbrauch ist bei vielen iOS-Apps die Regel

Verantwortlich für dieses Datenleck ist zumeist die "Finde Freunde"-Funktionen (bzw. vergleichbare), auf die viele iPhone-Anwendungen zugreifen. Erstmals beobachtet wurde diese unerwünschte "Spionagefunktion" von Entwickler Arun Thampi. Dieser hatte entdeckt, dass Path nach der Installation der App (sowie Registrierung) automatisch Kontaktdaten des Nutzers hochlädt.

Nach Angaben von 'The Verge' bedeutet das (vereinfacht gesprochen), dass jede iOS-App vollständigen Zugriff auf große Teile der auf einem iPhone gespeicherten Daten hat, dazu zählen das Adressbuch und der Kalender. Diese sensiblen Informationen können von einer App abgerufen werden, ohne dass der Nutzer nach seinem Einverständnis gefragt wird.

Nun ist allerdings bekannt geworden, dass Path (das Unternehmen hat sich inzwischen entschuldigt und fragt den Nutzer nun nach dessen expliziter Zustimmung) kein Ausnahmefall war, sondern dass diese Praxis die Regel ist.

So greifen praktisch alle bekannten Social-Media-Apps bzw. -Unternehmen auf diese vermeintliche Spionagefunktion zu, darunter Facebook, Twitter, LinkedIn, Instagram, Gowalla und Foursquare. Allerdings gibt es bei den jeweiligen "Verstößen" unterschiedliche Schweregrade.

Bei Path und Foursquare erfolgt(e) der Daten-Upload ohne jegliches Einverständnis des Nutzers. Bei Facebook und Twitter muss der Nutzer aktiv beispielsweise ein "Finde Freunde"-Feld betätigen, eine zusätzliche Warnung (als Pop-Up) wird dann aber nicht mehr eingeblendet.

Bei besonders schweren Verstößen, etwa beim sozialen Netzwerk Hipster, seien die Daten bei der Übermittlung ganz normal über http übertragen worden und waren somit nicht einmal verschlüsselt. Auch andere Unternehmen entscheiden sich immer wieder gegen eine verschlüsselte Übertragung, was geradezu eine Einladung für Hacker ist.

Nach Angaben von 'VentureBeat' (VB) sei diese Praxis aber nicht unbedingt die Schuld von den App-Entwicklern selbst, sondern basiert auf den ungenügenden Sicherheitsauflagen von Apple. Diese Praxis sei inzwischen ein "unausgesprochener Industriestandard" so VB.

Dabei wäre diese Sicherheitsproblematik relativ leicht lösbar, so einige iOS-Entwickler: So schreibt etwa Martin May auf seinem 'Blog', dass man statt echter Daten wie Telefonnummern und Adressen so genannte Hashes einsetzen könnte bzw. sollte. Damit könnten "Find Friends"-Funktionen durchgeführt werden, ohne dass man mit echten Nutzer-Informationen arbeiten muss, weil nur Hashes miteinander verglichen werden müssten. Dass diese Methode nicht schon längst Standard sei, liege an der Tatsache, dass Apple den ungeschützten Zugriff weiterhin erlaube, so 'VentureBeat'.