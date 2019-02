Viele App-Anbieter nutzen Datenanalyse-Tools wie Glassbox Laut einem Bericht machen diverse iPhone-Apps die Inter­ak­tionen der Anwender gläsern. Ein Analyse-Tool, das sich Glassbox nennt, hält den Bild­schir­m­in­halt fest und sendet das Mate­rial an das Entwick­ler­studio. Dieser Eingriff in die Privat­sphäre ist in den Daten­schutz­richt­li­nien der betrof­fenen Smart­phone-Programme nicht proto­kol­liert. Die aufge­zeich­neten Videos sollen Entwick­ler­stu­dios dabei helfen, Probleme mit einer App zu sichten. Sensible Daten werden im Ideal­fall maskiert – das klappt aller­dings nicht immer. Der Dienst kommt unter anderem in Anwen­dungen von Expedia und Hotels.com zum Einsatz.

iPhone-Apps als Daten-Schnüffler

Je nach Land gibt es bestimmte Vorgaben beim Umgang mit vertrau­li­chen Infor­ma­tionen des Smart­phone-Users. Wie Tech­Crunch jüngst heraus­fand, nehmen es diverse Apps mit der Privat­sphäre des Nutzers aber nicht allzu genau. Weder in der App-Beschrei­bung, noch in den Daten­schutz­richt­li­nien mancher iPhone-Programme wie Air Canada, Hollister, Expedia, Aber­crombie & Fitch, Hotels.com und Singa­pore Airlines, wird auf eine Aufzeich­nung der Bild­schir­min­halte hinge­wiesen. Der Service Glassbox nimmt im Auftrag von Entwick­ler­stu­dios soge­nannte „Session Replays“ auf, die Schritt für Schritt jede Eingabe des Anwen­ders spei­chern. Sensible Daten, wie etwa Kredit­kar­ten­in­for­ma­tionen, sollen dabei mit einem schwarzen Balken maskiert werden, was aber nicht zuver­lässig zu klappen scheint. Laut The App Analyst gab es beispiels­weise kürz­lich einen Zwischen­fall bei Air Canada. Die Maskie­rung schlug fehl und 20 000 Profile wurden Opfer des Daten­lecks.

Sicher­heits­ex­perte äußert Bedenken

„Mitar­beiter von Air Canada und alle Personen, die sich Zugriff zur Screen­shot-Daten­bank verschaffen, können die unver­schlüs­selten Kredit­kar­ten­in­for­ma­tionen und Pass­wörter einsehen“, so The App Analyst. Der Sicher­heits­profi nahm im Auftrag von Tech­Crunch die Daten­über­tra­gung der oben aufge­lis­teten iPhone-Anwen­dungen unter die Lupe. Manche Anbieter senden das Bild­ma­te­rial zu ihren eigenen Servern, andere zur Glassbox-Cloud. Die Daten seien größ­ten­teils verschlüs­selt, in manchen Fällen habe man jedoch E-Mail-Adressen und Post­leit­zahlen erkennen können. Glassbox selbst sieht keinen Anlass dazu, seine Kunden zu zwingen, den Dienst in den Daten­schutz­richt­li­nien zu erwähnen. Man würde nur Inhalte von der jewei­ligen App und nicht darüber hinaus aufzeichnen können, beteuert ein Pres­se­spre­cher. Außerdem habe man keinen Zugriff auf die Daten. The App Analyst merkt an: „Weil die Daten oftmals zu den Glassbox-Servern geschickt werden, wäre ich nicht scho­ckiert, wenn sie über sensible Bank­daten und Pass­wörter verfügen.“

