Facebook-App überträgt ungefragt Telefonnummern auf eigene Server

Symantec hat entdeckt, dass die Android-App von Facebook die Telefonnummern von Millionen Anwendern auf seine Server hochgeladen hat. Das erfolgte stets schon beim Start der App, noch bevor sich die Nutzer anmeldeten – und das Social Network konnte damit auch gar keine Zustimmung dafür erhalten. Die Telefonnummer wurde auch übertragen, wenn der Anwender selbst nicht über ein Facebook-Konto verfügte und die App auf seinem Gerät vorinstalliert war.

Die Entdeckung erfolgte laut Symantec durch seine Sicherheitslösung Norton Mobile Security und ihre neue Mobile-Insight-Technik. Sie habe überraschende Einblicke gegeben, wie beliebte und weit verbreitete Apps den Schutz der Privatsphäre vernachlässigen und persönliche Informationen preisgeben. Wie bei Google Play zu ersehen, ist die Facebook-Anwendung auf mehreren hundert Millionen Geräten installiert, und ein großer Teil ist wahrscheinlich vom Leak betroffen.

Facebook erklärte auf Nachfrage, es habe die Angelegenheit untersucht und werde das Problem mit der nächsten Aktualisierung von Facebook für Android beheben. Das Unternehmen beteuerte weiterhin, es habe die Telefonnummern weder benutzt noch verarbeitet und inzwischen von seinen Servern gelöscht. „Leider ist die Anwendung von Facebook nicht die einzige, die private Daten preisgibt, und nicht einmal die schlimmste“, heißt es in einem Blogeintrag von Symantec.

Google Play verzeichnet bereits über 7,4 Millionen Downloads der Facebook-App. Darüber hinaus wurden viele Android-Smartphones mit vorinstallierten Anwendungen verkauft, die schon beim ersten versehentlichen Start die Telefonnummern des Nutzers übertrugen. Das Social Network hat bis heute nicht erklärt, dass das nur versehentlich geschehen sei.

Vor dem Download erfragt die App ungewöhnlich umfangreiche Berechtigungen. Unter „Persönliche Informationen“ verlangt sie beispielsweise, das Anrufprotokoll sowie Kontaktdaten lesen und schreiben zu dürfen. Unter „Systemtools“ nimmt sie sich heraus, ausgeführte Anwendungen abzurufen und neu zu sortieren. Unter „Netzwerkkommunikation“ holt es sich die Berechtigung, Dateien ohne Benachrichtigung herunterzuladen.

Erst vor einer Woche musste Facebook eine schwere Datenpanne einräumen, durch die nichtöffentliche Daten anderer Nutzer einsehbar waren. Das Social Network schätzte selbst, dass rund 6 Millionen von der seit dem letzten Jahr bestehenden Schwachstelle betroffen waren. Laut Facebook kamen die preisgegebenen Telefonnummern und E-Mail-Adressen aus einer Datenbank, die der Generierung von Freundschaftsempfehlungen diente.

Die Sicherheitsforscher von Packet Storm, die den Fehler an Facebook meldeten, werfen dem Social Network vor, so etwas wie Schattenprofile über alle Nutzer anzulegen. Diese enthielten persönliche Informationen, die die Nutzer nicht selbst mitteilten, sondern beispielsweise aus den Kontaktdaten anderer Teilnehmer gesammelt wurden. Das Social Network bevorrate dabei auch die persönlichen Daten von Menschen, die sich ihm nicht angeschlossen haben. In einer Nachbetrachtung stellen sie außerdem fest, dass Facebook die Datenpanne herunterspielte und seine Mitglieder über ihre tatsächlich preisgegebenen Daten nur unvollständig informierte.

[mit Material von Violet Blue, ZDNet.com]