11.05.2011, 19:16
In der letzten Zeit steht Apple wegen seines Umgangs mit den privaten Daten seiner iPhone-Nutzer stark unter Druck. Erst gestern musste sich Apple (neben Google) vor einem Ausschuss des amerikanischen Senats wegen seiner Privacy Policy rechtfertigen. Da schlägt schon die nächste Skandal-Nachricht ein: Einige Applikationen verknüpfen die eindeutige Identifikationsnummer des iPhones mit dem Facebook-Benutzerprofil und stellen so ohne Wissen und Zustimmung des Anwenders eine personalisierte Zuordnung zwischen Telefon und Benutzer her.
![[Bild: b5c9nnygvixjq86snme.png]](https://iszene.com/uploads/b5c9nnygvixjq86snme.png)
Wie bereits in einem Artikel des Wall Street Journal im Dezember 2010 berichtet wurde, übertragen viele Applikationen sowohl aus dem AppStore als auch aus dem Cydia Store sensible Daten an Apple und / oder die Entwickler der Apps. Dazu gehört in sehr vielen Fällen der so genannte Unique Device Identifier (kurz: UDID). Diese 40-stellige Hexadezimalzahl identifiziert ein Gerät eindeutig, und zwar lebenslang. Neben dieser Kennung werden nicht selten auch andere Daten übermittelt, wie z.B. der Benutzername, die Geo-Position oder auch Alter und Geschlecht des Nutzers.
Die Idee dieser eindeutigen Identifikationsnummer ist es, den Apps eine Zuordnung zwischen iDevice und Applikation zu ermöglichen und so z.B. Benutzereinstellungen, Lizenzdaten u.ä. zu verwalten. Die Richtlinien von Apple legen den Entwicklern nahe, die UDID mit einem anwendungsspezifischen Benutzernamen zu verknüpfen, um nach einem Verkauf des Telefons den Zugriff des neuen Besitzers auf Daten des Vorbesitzers zu verhindern. Darüber hinaus ist eine Entanonymisierung, also die Zuordnung der Daten zu einem realen Namen, ausdrücklich untersagt.
Als größte Datensammler stehen neben Apple selbst das Analysenetzwerk Flurry sowie die Spieleplattform OpenFeint, ein Pendant zu Apples GameCenter, das Spiele wie z.B. "Fruit Ninja" anbietet, in der Kritik. Durch ihr breites Angebot an Apps sammeln und verknüpfen sie die Informationen sehr vieler iPhone-User.
Der neuseeländische Programmierer Aldo Cortesi hat nun nachgewiesen, dass speziell die Apps des Spielenetzwerkes OpenFeint die UDID mit dem Facebook-Profil verknüpfen, sobald ein User seinem OpenFeint-Account Zugriff auf die Facebook-Daten erlaubt. Derartige Funktionen bieten sehr viele Spiele an, so z.B. das sehr verbreitete "Doodle Jump" oder auch namhafte Produktionen wie "Tiger Woods PGA Tour 2012". Darum sollten Nutzer extrem vorsichtig mit den Zugriffsrechten auf die Daten und Dienste sozialer Netzwerke umgehen. Es ist zu empfehlen, die derzeit gewährten Zugriffsrechte bei Facebook regelmäßig zu überprüfen. Dies kann man auf Facebook über das Menü "Konto - Privatsphäre-Einstellungen - Anwendungen und Webseiten" tun. Allerdings sollte man sich vor Augen halten, dass eine einmal hergestellte Verknüpfung zwischen iPhone und Facebook-Konto dadurch nicht mehr aufgehoben oder zurückgenommen werden kann.
Normalerweise muss die Übermittlung persönlicher Daten in jedem Einzelfall vom Anwender bestätigt werden. iOS kennt aber nur eine einzige Schranke, nämlich beim Zugriff auf die Geo-Daten. Alle anderen Daten werden nach Feststellung des Wall Street Journals auch ohne vorherige Zustimmung des Anwenders übermittelt.
Diese Verknüpfung ist umso problematischer, als dass sich die UDID des iPhones normalerweise über seinen ganzen Lebenszyklus hinweg niemals ändert. Auch eine Wiederherstellung ändert diese ID nicht. Anders bei Android-Geräten, bei denen es ebenfalls eine eindeutige ID gibt, die aber nach jedem Voll-Reset neu berechnet wird.
Apple hat auf Anfrage nur mit einem "No comment" reagiert. Auch die Befragung vor dem amerikanischen Senat ergab nur die gebetsmühlenartig wiederholten Statements, die bereits seit Wochen durch die Presse wandern. OpenFeint hat die Übermittlung der Geo-Daten sowie des Facebook-Profilbildes im Rahmen ihrer API unmittelbar nach Erscheinen des Artikels von Cortesi eingestellt. Ob die Daten ungeachtet dessen weiterhin erfasst werden, ist nicht klar, darf aber als wahrscheinlich gelten.
Nach unseren Recherchen gibt es Abhilfe, zumindest für Anwender mit einem gejailbreakten iPhone. Die Cydia-App "UDIDFaker" - ursprünglich im Dunstkreis von Softwarepiraten aufgetaucht - erlaubt das Festlegen einer beliebigen UDID für jedes einzelne AppStore-App (iTunes sowie Cydia-Apps sehen weiterhin die originale UDID). Allerdings scheint die App nicht besonders ausgereift und stabil zu sein. Darum können wir die Verwendung dieses Tools derzeit nicht empfehlen.
Die Idee dieser eindeutigen Identifikationsnummer ist es, den Apps eine Zuordnung zwischen iDevice und Applikation zu ermöglichen und so z.B. Benutzereinstellungen, Lizenzdaten u.ä. zu verwalten. Die Richtlinien von Apple legen den Entwicklern nahe, die UDID mit einem anwendungsspezifischen Benutzernamen zu verknüpfen, um nach einem Verkauf des Telefons den Zugriff des neuen Besitzers auf Daten des Vorbesitzers zu verhindern. Darüber hinaus ist eine Entanonymisierung, also die Zuordnung der Daten zu einem realen Namen, ausdrücklich untersagt.
Als größte Datensammler stehen neben Apple selbst das Analysenetzwerk Flurry sowie die Spieleplattform OpenFeint, ein Pendant zu Apples GameCenter, das Spiele wie z.B. "Fruit Ninja" anbietet, in der Kritik. Durch ihr breites Angebot an Apps sammeln und verknüpfen sie die Informationen sehr vieler iPhone-User.
Der neuseeländische Programmierer Aldo Cortesi hat nun nachgewiesen, dass speziell die Apps des Spielenetzwerkes OpenFeint die UDID mit dem Facebook-Profil verknüpfen, sobald ein User seinem OpenFeint-Account Zugriff auf die Facebook-Daten erlaubt. Derartige Funktionen bieten sehr viele Spiele an, so z.B. das sehr verbreitete "Doodle Jump" oder auch namhafte Produktionen wie "Tiger Woods PGA Tour 2012". Darum sollten Nutzer extrem vorsichtig mit den Zugriffsrechten auf die Daten und Dienste sozialer Netzwerke umgehen. Es ist zu empfehlen, die derzeit gewährten Zugriffsrechte bei Facebook regelmäßig zu überprüfen. Dies kann man auf Facebook über das Menü "Konto - Privatsphäre-Einstellungen - Anwendungen und Webseiten" tun. Allerdings sollte man sich vor Augen halten, dass eine einmal hergestellte Verknüpfung zwischen iPhone und Facebook-Konto dadurch nicht mehr aufgehoben oder zurückgenommen werden kann.
Normalerweise muss die Übermittlung persönlicher Daten in jedem Einzelfall vom Anwender bestätigt werden. iOS kennt aber nur eine einzige Schranke, nämlich beim Zugriff auf die Geo-Daten. Alle anderen Daten werden nach Feststellung des Wall Street Journals auch ohne vorherige Zustimmung des Anwenders übermittelt.
Diese Verknüpfung ist umso problematischer, als dass sich die UDID des iPhones normalerweise über seinen ganzen Lebenszyklus hinweg niemals ändert. Auch eine Wiederherstellung ändert diese ID nicht. Anders bei Android-Geräten, bei denen es ebenfalls eine eindeutige ID gibt, die aber nach jedem Voll-Reset neu berechnet wird.
Apple hat auf Anfrage nur mit einem "No comment" reagiert. Auch die Befragung vor dem amerikanischen Senat ergab nur die gebetsmühlenartig wiederholten Statements, die bereits seit Wochen durch die Presse wandern. OpenFeint hat die Übermittlung der Geo-Daten sowie des Facebook-Profilbildes im Rahmen ihrer API unmittelbar nach Erscheinen des Artikels von Cortesi eingestellt. Ob die Daten ungeachtet dessen weiterhin erfasst werden, ist nicht klar, darf aber als wahrscheinlich gelten.
Nach unseren Recherchen gibt es Abhilfe, zumindest für Anwender mit einem gejailbreakten iPhone. Die Cydia-App "UDIDFaker" - ursprünglich im Dunstkreis von Softwarepiraten aufgetaucht - erlaubt das Festlegen einer beliebigen UDID für jedes einzelne AppStore-App (iTunes sowie Cydia-Apps sehen weiterhin die originale UDID). Allerdings scheint die App nicht besonders ausgereift und stabil zu sein. Darum können wir die Verwendung dieses Tools derzeit nicht empfehlen.
