Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5

Neues Datenleck: Verknüpfung zwischen iPhone und Facebook-Account
#1

In der letzten Zeit steht Apple wegen seines Umgangs mit den privaten Daten seiner iPhone-Nutzer stark unter Druck. Erst gestern musste sich Apple (neben Google) vor einem Ausschuss des amerikanischen Senats wegen seiner Privacy Policy rechtfertigen. Da schlägt schon die nächste Skandal-Nachricht ein: Einige Applikationen verknüpfen die eindeutige Identifikationsnummer des iPhones mit dem Facebook-Benutzerprofil und stellen so ohne Wissen und Zustimmung des Anwenders eine personalisierte Zuordnung zwischen Telefon und Benutzer her.

[Bild: b5c9nnygvixjq86snme.png]

Wie bereits in einem Artikel des Wall Street Journal im Dezember 2010 berichtet wurde, übertragen viele Applikationen sowohl aus dem AppStore als auch aus dem Cydia Store sensible Daten an Apple und / oder die Entwickler der Apps. Dazu gehört in sehr vielen Fällen der so genannte Unique Device Identifier (kurz: UDID). Diese 40-stellige Hexadezimalzahl identifiziert ein Gerät eindeutig, und zwar lebenslang. Neben dieser Kennung werden nicht selten auch andere Daten übermittelt, wie z.B. der Benutzername, die Geo-Position oder auch Alter und Geschlecht des Nutzers.

Die Idee dieser eindeutigen Identifikationsnummer ist es, den Apps eine Zuordnung zwischen iDevice und Applikation zu ermöglichen und so z.B. Benutzereinstellungen, Lizenzdaten u.ä. zu verwalten. Die Richtlinien von Apple legen den Entwicklern nahe, die UDID mit einem anwendungsspezifischen Benutzernamen zu verknüpfen, um nach einem Verkauf des Telefons den Zugriff des neuen Besitzers auf Daten des Vorbesitzers zu verhindern. Darüber hinaus ist eine Entanonymisierung, also die Zuordnung der Daten zu einem realen Namen, ausdrücklich untersagt.

Als größte Datensammler stehen neben Apple selbst das Analysenetzwerk Flurry sowie die Spieleplattform OpenFeint, ein Pendant zu Apples GameCenter, das Spiele wie z.B. "Fruit Ninja" anbietet, in der Kritik. Durch ihr breites Angebot an Apps sammeln und verknüpfen sie die Informationen sehr vieler iPhone-User.

Der neuseeländische Programmierer Aldo Cortesi hat nun nachgewiesen, dass speziell die Apps des Spielenetzwerkes OpenFeint die UDID mit dem Facebook-Profil verknüpfen, sobald ein User seinem OpenFeint-Account Zugriff auf die Facebook-Daten erlaubt. Derartige Funktionen bieten sehr viele Spiele an, so z.B. das sehr verbreitete "Doodle Jump" oder auch namhafte Produktionen wie "Tiger Woods PGA Tour 2012". Darum sollten Nutzer extrem vorsichtig mit den Zugriffsrechten auf die Daten und Dienste sozialer Netzwerke umgehen. Es ist zu empfehlen, die derzeit gewährten Zugriffsrechte bei Facebook regelmäßig zu überprüfen. Dies kann man auf Facebook über das Menü "Konto - Privatsphäre-Einstellungen - Anwendungen und Webseiten" tun. Allerdings sollte man sich vor Augen halten, dass eine einmal hergestellte Verknüpfung zwischen iPhone und Facebook-Konto dadurch nicht mehr aufgehoben oder zurückgenommen werden kann.

Normalerweise muss die Übermittlung persönlicher Daten in jedem Einzelfall vom Anwender bestätigt werden. iOS kennt aber nur eine einzige Schranke, nämlich beim Zugriff auf die Geo-Daten. Alle anderen Daten werden nach Feststellung des Wall Street Journals auch ohne vorherige Zustimmung des Anwenders übermittelt.

Diese Verknüpfung ist umso problematischer, als dass sich die UDID des iPhones normalerweise über seinen ganzen Lebenszyklus hinweg niemals ändert. Auch eine Wiederherstellung ändert diese ID nicht. Anders bei Android-Geräten, bei denen es ebenfalls eine eindeutige ID gibt, die aber nach jedem Voll-Reset neu berechnet wird.

Apple hat auf Anfrage nur mit einem "No comment" reagiert. Auch die Befragung vor dem amerikanischen Senat ergab nur die gebetsmühlenartig wiederholten Statements, die bereits seit Wochen durch die Presse wandern. OpenFeint hat die Übermittlung der Geo-Daten sowie des Facebook-Profilbildes im Rahmen ihrer API unmittelbar nach Erscheinen des Artikels von Cortesi eingestellt. Ob die Daten ungeachtet dessen weiterhin erfasst werden, ist nicht klar, darf aber als wahrscheinlich gelten.

Nach unseren Recherchen gibt es Abhilfe, zumindest für Anwender mit einem gejailbreakten iPhone. Die Cydia-App "UDIDFaker" - ursprünglich im Dunstkreis von Softwarepiraten aufgetaucht - erlaubt das Festlegen einer beliebigen UDID für jedes einzelne AppStore-App (iTunes sowie Cydia-Apps sehen weiterhin die originale UDID). Allerdings scheint die App nicht besonders ausgereift und stabil zu sein. Darum können wir die Verwendung dieses Tools derzeit nicht empfehlen.
Zitieren
#2

Ist ja interessant. Ein Skandal nach dem anderen. Sony, Facebook und Apple. Was in der letzte Zeit los ist, ist komisch.
Zitieren
#3

Zitat:Einstellungen - Anwendungen und Webseiten" tun. Allerdings sollte man sich vor Augen halten, dass eine einmal hergestellte Verknüpfung zwischen iPhone und Facebook-Konto dadurch nicht mehr aufgehoben oder zurückgenommen werden kann.

Hallo. Das verstehe ich nicht. Ich dachte mit dem Loeschen der Anwendung sollte wenigsten die Anwendung ab jetzt aussen vor sein?
Zitieren
#4

Das stimmt auch. Aber wenn der App-Anbieter bereits die Verknüpfung zwischen deiner UDID und deinem Facebook-Account kennt, nimmt das Löschen dieser Freigabe dieses Wissen ja nicht zurück.

Zukünftig kann die App nicht mehr auf deine Daten zugreifen. Alles, was du also nach der Löschung der Berechtigung auf Facebook tust, bleibt für das App unsichtbar. Aber deinen Namen und die Profildaten wird das App bereits beim ersten Kontakt herunterladen und speichern.

Cya,

freefall.
Zitieren
#5

(11.05.2011, 19:42)BlackPhoenixX schrieb:  Was in der letzte Zeit los ist, ist komisch.

"Das" ist schon ganz lange los, nur in der letzten Zeit wird es ans Licht gefördert...



Zitieren
#6

(11.05.2011, 19:57)freefall schrieb:  ............Aber deinen Namen und die Profildaten wird das App bereits beim ersten Kontakt herunterladen und speichern.
Cya, freefall.

Vielen Dank. Na dann ist ja mal gut das ich nicht mit echten Daten bei FB bin Popcorn

Aber eines sagen mir diese Datenlecks: ich werde meine iTunes Click&Buy Verbindung lösen.
Mike

Zitieren
#7

Jetzt mal ganz grob gesagt: was glauben die leute eigentlich wozu dieses openfeit & co da ist?!
Bestimmt nicht um den leuten mehr spass zu bereiten. Da gehts doch nur darum profit zu machen. Und den macht man am einfachsten mit nutzerdaten.

Ich übertreib jetzt nen bisschen, aber an die leute die es betrifft: selber schuld, is doch "offensichtlich" worum es heutzutage nur noch geht.
Zitieren
#8

Das ist möglich, aber das Team besteht aus Berufstätigen, die weder mittags vor dem Fernseher sitzen, noch auf Abruf Zeit für News haben.
Zitieren
#9

In letzter zeit sind es doch schon ganz viele Skandale? Warum das alles auf einmal?
Zitieren
#10

Kein Wunder das Apple so "wertvoll" ist *lach*
Zitieren
#11

(11.05.2011, 21:59)Raven45 schrieb:  Das kam doch schon in allen Nachrichten Sender, schon heute Mittag.,

Da hat aber jemand schlecht aufgepasst. Die Datenlücke, von der Du in den Nachrichten gehört hast, hat Facebook betroffen, bei denen Werbekunden über "Apps" die auf deren Plattform laufen (also Browser-Games), die Benutzerprofile ausspähen konnten.
HIER geht es um Apple und OpenFeint, damit hatten diese Nachrichten mit Sicherheit nichts zu tun, das sind zwei verschiedene paar Schuhe.

-> Anmeldung zum Test der iOS 9-Betas bitte per PM <-
Zitieren
#12

Man sollte den Apps keine privaten Daten anvertrauen.... Ich hatte mir schon über eine "Bank-App" Gedanken gemacht, ob ich mir das vll mal anlege, jetzt lass ich es lieber.
Zitieren
#13

Die Bank-App (iOutbank) macht ihr Business mit Datensicherheit. Nur der Hauch eines Verdachts, dass hier auch nur ein Buchstabe "abgezweigt" wird, und die können die Firma zumachen.

Das Problem sind die Gratisanwendungen und Games, die meist von jüngeren "Kunden" verwendet werden. Wenn man dann noch seinen Highscore auf sein Facebook-Profil posten will, ist das Leck offen.

Gerade bei Gratisanwendungen sollte man sich einfach die Frage stellen, ob derjenige, der das App anbietet, etwas zu verschenken hat. Manchmal ist das so, manchmal wollen sie einfach nur Kundenbindung und manchmal eben existiert das App nur darum, um die Daten der ahnungslosen Anwender abzugreifen.

Cya,

freefall.
Zitieren
#14

@halberApfel

Ja aber das diese "Skandale" alle aufeinmal veröffentlich werden. Das ist zu bedenken.
Zitieren
#15

Sehe nach wie vor das Problem nicht. Meinen Namen, Alter und Geschlecht kann von mir aus jeder auf dem Planeten wissen Zwinkern

Aber wahrscheinlich sehe ich das ganze zu einfach und naiv, mag wohl wiederum daran liegen, dass es mir egal ist. Aber trotzdem danke für den (wieder mal) sehr informativen Beitrag. Dank euch bleibe ich wenigstens ein bisschen up2date Zwinkern
Zitieren
#16

Okay, machen wir mal ein konkretes Beispiel:

Du installierst dir ein beliebiges App. Um es etwas pikanter zu machen, nehmen wir an, ist es eines, das "Adult content" anbietet.

Diesem App gestattest du natürlich vorzugsweise nicht, auf dein Facebook-Profil zuzugreifen. Schließlich möchtest du auf deiner Pinwand nicht plötzlich Werbung von - sagen wir - Beate Uhse sehen. Trotzdem kommt aber dieses App an deine UDID, denn das kann jedes App und du merkst das nicht bzw. kannst es auch nicht unterbinden.

Nun hat aber OpenFeint schon vor langer Zeit deine UDID und dein Facebook-Profil verknüpft, weil du z.B. in FruitNinja deine Spielstände auf dein Facebook-Profil posten wolltest.

OpenFeint bietet nun eine API (Programmierschnittstelle für App-Entwickler) an. So könnte auch der Anbieter unseres XXX-Apps dort Kunde sein. Die API erlaubt es jedem Kunden, Informationen über eine bestimmte UDID abzurufen. Der XXX-Anbieter ruft diese API nun mit deiner UDID auf und erhält von OpenFeint freundlicherweise deinen aktuellen Aufenthaltsort, die letzte genutzte OpenFeint-App sowie dein Facebook-Profil-Foto, in dessen Link u.a. auch deine Facebook-Kundennummer steckt.

Willst du das wirklich???

Cya,

freefall.
Zitieren
#17

Danke für das äußerst gute Beispiel. Das verdeutlicht mir die Thematik nochmal. Sicher hast du Recht, dass es evtl. leicht unangenehm wäre solche (aber auch generelle Werbung auf meinem Profil zu sehen) gepostet zu bekommen.

Um meine Antwort etwas allgemeiner zu halten: Mit personalisierter Werbung anhand meiner Profildaten, habe ich kein Problem. Mir fällt diese in der Regel eh kaum auf (ausser im Büro wenn ich finnische Werbebanner sehe Zwinkern) Ich sehe darin generell nur den möglichen Nutzen von Firmen die darauf zugreifen. Für mich persönlich kann ich bei Auswertung und Nutzung von solchen Daten generell keinen Nachteil sehen. E-Mails landen im Spamordner, Anrufe werden kurz geführt und die Post landet im Papierkorb.

Evtl. würde ich das anders sehen, wenn solche Aktionen ein unangenehmes Ausmaß annehmen würden. Da dies (trotz meiner relativ offenen Art meine Daten zu teilen) noch nicht passiert ist, bin ich da wie oben beschrieben relativ entspannt bei den ganzen Geschichten.
Zitieren
#18

Die Werbung wird immer wieder als anschaulichstes Beispiel verwendet. Aber die Problematik geht über Werbung leider weit hinaus. Es gibt z.B. Firmen, die erstellen "Wohlstandsprofile" anhand des Wohnortes, bis hin zur Straße, in der du wohnst. Kenn man also deine Adresse, kann man eine Mutmaßung darüber anstellen, wieviel Geld du zur Verfügung hast. Das kann z.B. zur Bonitätsanlalyse bei Bestellungen bei einem Internet-Versender herangezogen werden. Wenn du also z.B. die Option "auf Rechnung" nicht angeboten bekommst, kann das an solchen Datenverknüpfungen liegen.

Noch übler wird das Datamining, wenn es um Versicherungen geht. Lebens- und Krankenversicherungen haben ein großes Interesse daran, den Lebenstil ihrer Kunden zu kennen. Dieser wird bei der Risikoanalyse verwendet, um über die Versicherungsprämie oder ggf. sogar Ausschlüsse oder Ablehnungen zu entscheiden.

Es gilt, wachsam und aufmerksam zu bleiben (oder zu werden). Die Sensibilität für die Bedeutung des Datenschutzes steigt nur langsam, die Mittel der Datenkraken zur Erfassung von immer mehr Daten entwickeln sich ungleich schneller.
Zitieren
#19

Sind dass diese Spiele, die einem anbieten sich mit Facebook oder Twitter zu verbinden? Mal ganz abgesehen davon, dass ich nur ein FakeFaceBookAccount angelegt habe um CydiaApps zu kaufen kann die App doch nur Daten übertragen, wenn ich die Frage "Bei Facebook einloggen?" oder wie auch immer die Frage formuliert wird mit "Ja" bestätige und meine FaceBookAccountDaten eingebe oder nicht?

Zitieren
#20

Richtig, nur wenn Du dies selbst freigibst.

-> Anmeldung zum Test der iOS 9-Betas bitte per PM <-
Zitieren




Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste