Facebook-App überträgt ungefragt Telefonnummern auf eigene Server

Symantec hat entdeckt, dass die Android-App von Facebook die Telefonnummern von Millionen Anwendern auf seine Server hochgeladen hat. Das erfolgte stets schon beim Start der App, noch bevor sich die Nutzer anmeldeten – und das Social Network konnte damit auch gar keine Zustimmung dafür erhalten. Die Telefonnummer wurde auch übertragen, wenn der Anwender selbst nicht über ein Facebook-Konto verfügte und die App auf seinem Gerät vorinstalliert war.

Die Entdeckung erfolgte laut Symantec durch seine Sicherheitslösung Norton Mobile Security und ihre neue Mobile-Insight-Technik. Sie habe überraschende Einblicke gegeben, wie beliebte und weit verbreitete Apps den Schutz der Privatsphäre vernachlässigen und persönliche Informationen preisgeben. Wie bei Google Play zu ersehen, ist die Facebook-Anwendung auf mehreren hundert Millionen Geräten installiert, und ein großer Teil ist wahrscheinlich vom Leak betroffen.

Facebook erklärte auf Nachfrage, es habe die Angelegenheit untersucht und werde das Problem mit der nächsten Aktualisierung von Facebook für Android beheben. Das Unternehmen beteuerte weiterhin, es habe die Telefonnummern weder benutzt noch verarbeitet und inzwischen von seinen Servern gelöscht. „Leider ist die Anwendung von Facebook nicht die einzige, die private Daten preisgibt, und nicht einmal die schlimmste“, heißt es in einem Blogeintrag von Symantec.

Google Play verzeichnet bereits über 7,4 Millionen Downloads der Facebook-App. Darüber hinaus wurden viele Android-Smartphones mit vorinstallierten Anwendungen verkauft, die schon beim ersten versehentlichen Start die Telefonnummern des Nutzers übertrugen. Das Social Network hat bis heute nicht erklärt, dass das nur versehentlich geschehen sei.

Vor dem Download erfragt die App ungewöhnlich umfangreiche Berechtigungen. Unter „Persönliche Informationen“ verlangt sie beispielsweise, das Anrufprotokoll sowie Kontaktdaten lesen und schreiben zu dürfen. Unter „Systemtools“ nimmt sie sich heraus, ausgeführte Anwendungen abzurufen und neu zu sortieren. Unter „Netzwerkkommunikation“ holt es sich die Berechtigung, Dateien ohne Benachrichtigung herunterzuladen.

Erst vor einer Woche musste Facebook eine schwere Datenpanne einräumen, durch die nichtöffentliche Daten anderer Nutzer einsehbar waren. Das Social Network schätzte selbst, dass rund 6 Millionen von der seit dem letzten Jahr bestehenden Schwachstelle betroffen waren. Laut Facebook kamen die preisgegebenen Telefonnummern und E-Mail-Adressen aus einer Datenbank, die der Generierung von Freundschaftsempfehlungen diente.

Die Sicherheitsforscher von Packet Storm, die den Fehler an Facebook meldeten, werfen dem Social Network vor, so etwas wie Schattenprofile über alle Nutzer anzulegen. Diese enthielten persönliche Informationen, die die Nutzer nicht selbst mitteilten, sondern beispielsweise aus den Kontaktdaten anderer Teilnehmer gesammelt wurden. Das Social Network bevorrate dabei auch die persönlichen Daten von Menschen, die sich ihm nicht angeschlossen haben. In einer Nachbetrachtung stellen sie außerdem fest, dass Facebook die Datenpanne herunterspielte und seine Mitglieder über ihre tatsächlich preisgegebenen Daten nur unvollständig informierte.

[mit Material von Violet Blue, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

20 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

22 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

23 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago