iTunes-Lücke ermöglicht das Ausspähen von Musikbibliotheken

Einem Bericht von The Register zufolge hat der Forscher Andrew McAfee eine Lücke in iTunes entdeckt, mit der es möglich ist, die Musikbibliotheken anderer Nutzer auszuspähen. Der Fehler steckt in der Geschenkfunktion des Onlineshops.

In seinem Blog schreibt McAfee, dass für seinen Exploit lediglich die E-Mail-Adresse benötigt wird, mit der sich ein iTunes-Kunde bei Apple angemeldet hat. Über eine Liste mit Songs, Videos oder auch Apps für iPhone und iPad, die verschenkt werden sollen, lasse sich herausfinden, welche Titel der Empfänger schon bei Apple gekauft habe.

„Dahinter stehen gute Absichten – es soll verhindert werden, dass Musik verschenkt wird, die der Empfänger schon besitzt“, heißt es in dem Blogeintrag. „Die Umsetzung führt aber zu Datenschutzbedenken: Werden Duplikate gefunden, informiert iTunes den Schenker darüber.“ Die Anwendung zeige die Informationen sogar in roter Schrift an.

Besonders ernst sei dieser Fehler, schreibt McAfee weiter, da der Empfänger von der Preisgabe der Informationen nichts erfahre. Auch müsse der Absender weder bei Apple registriert sein noch persönliche Daten oder eine Kreditkartennummer hinterlegen.

Der Forscher warnt auch vor möglichen rechtlichen Problemen für Apple. In den USA gebe es beispielsweise mit dem Video Privacy Protection Act ein Bundesgesetz, das es untersage, Details über von Dritten ausgeliehene Videofilme öffentlich zu machen. In der Vergangenheit sei das Gesetz für Sammelklagen gegen Facebook und Netflix verwendet worden.

Amazon wickelt laut McAfee Geschenke auch dann ab, wenn der Beschenkte den Artikel schon bei Amazon gekauft hat. Das Unternehmen benachrichtige den Empfänger und schreibe ihm den Kaufbetrag gut. McAfee dazu: „Vorsichtig formuliert – das scheint mir ein besserer Ansatz zu sein.“


Über die iTunes-Geschenkfunktion können Dritte die Musikbibliothek eines Nutzers ausspähen (Screenshot: Andrew McAfee).

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago