Ein Bericht von TechCrunch sorgte am Donnerstag für einiges Aufsehen: Denn große und beliebte Apps aus dem Reise- und Verbraucherbereich zeichnen heimlich deine iPhone-Bildschirmaktivitäten auf. Deine Privatsphäre ist ihnen dadurch ausgeliefert. Kein Wunder, dass Apple schnell eine Antwort parat haben will.

Expedia und Co. spionieren auf dem iPhone

Ermittlungen von TechCrunch zufolge spähen dich einige beliebte Apps auf deinem iPhone aus. Mithilfe der Technologie eines Drittanbieters zeichnen sie deine iPhone-Bildschirmaktivitäten auf, machen sogar Screenshots davon – und zapfen dir dabei ohne deine Zustimmung sensible Informationen ab.

Apples Antwort auf den Spionage-Vorwurf

Der Bericht von TechCrunch verbreitete sich am Donnerstag schnell, auch wenn es größtenteils Technik-Websites und Blogs waren, die sie veröffentlichten. Trotzdem sah Apple sich verpflichtet, eine schnelle Antwort zu den Vorwürfen zu liefern. TechCrunch veröffentlichte sie:

„Der Schutz der Privatsphäre der Benutzer ist im Apple-Ökosystem von größter Bedeutung. In unseren App Store-Überprüfungsrichtlinien ist es erforderlich, dass Apps die ausdrückliche Zustimmung des Nutzers einholen und eine klare visuelle Anzeige für die Aufzeichnung, Protokollierung oder anderweitige Dokumentation von Benutzeraktivitäten bieten.

Wir haben die Entwickler benachrichtigt, die gegen diese strengen Datenschutzbestimmungen und -richtlinien verstoßen, und werden bei Bedarf umgehend Maßnahmen ergreifen.“

In Kürze: App-Anbieter werden ihre Nutzer entweder explizit darüber informieren müssen, dass ihr Screen aufgezeichnet wird oder sie müssen die Funktion entfernen. Mal sehen, wie das klappt.

Wie funktioniert die iPhone-Spionage der Apps?

Die Methode ist bekannt und nennt sich Session-Wiedergabe. Sie geht normalerweise damit einher, dass ein Drittanbieter involviert wird, der die Technologie in eine oder mehrere mobile Apps integriert. Im Falle der Reise- und Verbraucher-Apps auf dem iPhone ist das die Analyse-Firma Glassbox.

Sogar Screenshots vom iPhone-Screen

Glassbox zeichnet jede deiner Aktivitäten innerhalb der Apps auf und macht sogar Screenshots davon. Im Reisebereich ist das besonders gefährlich, weil Nutzer zum Buchen sensible Daten angeben, darunter ihre Reisepass- und Kreditkartennummer sowie finanzielle und persönliche Informationen.

Den Recherchen von TechCrunch nach, verzeichnet keine der untersuchten Reise- und Verbraucher-Apps, die die Technologie von Glassbox nutzen, das Vorgehen in irgendeiner Form, die für den Nutzer einsehbar sei, weder in der Datenschutzerklärung noch in anderen öffentlichen Dokumenten. Demnach habe wohl auch keiner der Nutzer ihm zugestimmt.

Welche Apps sind von der Spionage betroffen?

TechCrunch nahm einem Enthüllungsbericht von AppAnalyst zum Anlass, tiefergehend nachzuforschen.

Gängige App-Praxis

In der mobilen App-Industrie ist Spionage dieser oder ähnlicher Art in vielen Fällen gängige Praxis. Was nun diesen Fall besonders gefährlich macht, dass inbesondere Air Canada die Dateien der Session-Wiedergabe nicht anständig verbarg, als sie vom mobilen Endgerät des Nutzers zum Unternehmensserver gesendet wurden. Das machte den Datenaustausch so angreifbar für eine Man-in-the-Middle-Attacke, auch Janusangriff, bei der sich ein Angreifer in eine Kommunikation zwischen zwei Stationen einklinken und erheblichen Schaden anrichten kann.

Womöglich auch Android-Apps betroffen

Weil sich keine der betroffenen Apps ihren Nutzern gegenüber transparent verhalten habe, sei es TechCrunch zufolge möglich, dass noch mehr iPhone-Apps – und sogar Android-Apps – Session-Wiedergabe nutzten. erst am Mittwoch war bekannt geworden, dass ein kleines Gmail-Feature dich zum Phishing-Opfer macht. Immerhin hatte vor kurzem Google Spionage-Apps aus dem Play Store entfernt.