Heimlicher Zugriff durch Apps: iPhones und ihr Adressbuch-Problem

Zahlreiche iOS-Apps übertragen die Adressbuchdaten ihrer Nutzer auf ihre Server, nicht selten ohne das Wissen der iPhone-Besitzer. Nun hat Apple eine Lösung versprochen.

Dass das mobile Netzwerk Path die Adressbuchdaten von iPhone-Nutzern auf seinen Servern speicherte, war nur der Anfang: In den USA ist eine wichtige Debatte über die Intransparenz über den Zugriff von Apps auf sensible Kontaktdaten entstanden.

Im Zentrum der Kritik steht Apples Mobilsystem iOS, weil hier anders als bei Android oder Windows Phone 7 Nutzer der Übertragung solcher Datensätze grundsätzlich nicht explizit zustimmen müssen. Diese Lücke scheinen Entwickler gerne zu nutzen:

[] Bereits vor wenigen Tagen erklärte Blogger Dustin Curtis, er habe eine Kurzumfrage bei 15 iOS-Entwicklern bekannter Apps durchgeführt. Das Ergebnis: 13 davon hätten erklärt, sie hätten in ihren Datenbanken Millionen Kontaktdaten aus Adressbüchern wie etwa die Handynummer von Mark Zuckerberg oder Bill Gates.

[] In einer Stichprobe fand Jennifer Van Grove vom IT-Portal Venturebeat heraus, dass populäre Dienste wie Facebook, Twitter, Instagram, Foursquare, Foodspotting, Yelp, and Gowalla über ihre iOS-Apps Namen, E-Mail-Adressen und in einigen Fällen Telefonnummern aus den Adressbüchern ihrer Nutzer abgefragt hätten, im Falle von Twitter sogar über Android. Allerdings muss man anmerken, dass einige der Apps zuvor um Erlaubnis fragen und einige Unternehmen angaben, die Daten nicht auf den Servern zu speichern.

Path hat inzwischen eine solche Frage um Erlaubnis eingebaut, ebenso Instagram und Foursquare, das erst am Dienstag des Adress-Auslesens überführt wurde.

Nun liegt es natürlich an Apple, die entsprechende Schnittstelle für Apps so zu ändern, dass diese Art von Zugriffen nicht mehr ungefragt möglich ist. Zu mehr Transparenz gehört dabei auch die Auflistung der Zugriffsberechtigungen bereits vor dem Download in iTunes. Update, 16. Februar, 9:45 Uhr: Apple hat angekündigt, dass Apps künftig für das Abrufen solcher Informationen die Zustimmung der Nutzer einholen müssen. Dies war bislang bereits in den Entwickler-Richtlinien vorgeschrieben, wurde aber offenbar nicht kontrolliert. Zuvor hatten US-Kongresabgeordnete das Unternehmen in einem offenen Brief aufgefordert, weitere Informationen zu der Angelegenheit zu liefern.

Das ändert aber nichts an zwei weiteren Problemen:

[] Unseriöse Entwickler, unachtsame Nutzer: Selbst die vorherige Abfrage senkt nicht unbedingt die Datengier. Beispiele: Die Android-App CardioTrainer beispielsweise protokolliert eigentlich Fitnessaktivitäten, will aber auch Zugriff auf das Adressbuch, um Bekannte zu finden, die die App nutzen. Auch bei Spielen ist diese Form der Vernetzung beliebt, weil der soziale Faktor die Nutzer bindet (siehe z.B. Berechtigungen beim Schachspiel Multiplayer Chess. Immerhin hat der Nutzer hier die Möglichkeit, die Berechtigungen zu sehen - ob er allerdings deshalb auf eine beliebte App verzichtet und sich beim schnellen Download an unnötigen Zugriffen stört, ist eine andere Frage.

[] Computer und Handy in einem Gerät: Dass unser Smartphone zum persönlichen Assistenten mit Telefonfunktion geworden ist, hat Konsequenzen, die nicht nur Apps betreffen. Malware hat es beim Smartphone theoretischer einfacher als beim PC, unsere Kontakte und privaten Nachrichten (in diesem Falle SMS) auszulesen. Hier hilft eigentlich nur eine durchgängige Verschlüsselung der auf dem Smartphone gespeicherten Dateien. Immerhin sieht es so aus, als würde dieses Thema augrund des wichtigen Geschäftskundenmarktes inzwischen ernst genommen (Lesetipps zur Verschlüsselung: iOS, Android 3.0, Windows Phone 7/8, Blackberry).

Haben Sie Tipps zur Sicherung sensibler Smartphone-Daten? Schreiben Sie einen Kommentar oder diskutieren Sie bei Google Plus.