Apple geht gegen Spionage-Apps vor

Apple weist App-Entwickler an, Analysecode aus ihren Anwendungen zu entfernen oder ordnungsgemäß offenzulegen, der es ihnen ermöglicht, Benutzereingaben aufzuzeichnen. Die Anweisung folgt auf eine Untersuchung von TechCrunch, die ergab, dass große Unternehmen wie Expedia, Hollister und Hotels.com ein Analysetool einsetzen, um jegliche Benutzereingabe innerhalb der App aufzuzeichnen. Laut TechCrunch hat keine der getesteten Apps den Benutzer um Erlaubnis gebeten, und keine der Firmen hat diese Aufzeichnung in ihren Datenschutzrichtlinien genannt.

Laut TechCrunch verschickt Apple seit gestern E-Mails an die Entwickler der betreffenden Anwendungen: „Ihre App verwendet Analysesoftware, um Benutzer- oder Gerätedaten ohne Zustimmung des Benutzers zu sammeln und an Dritte zu senden. Apps müssen eine ausdrückliche Zustimmung des Benutzers einholen und eine klare visuelle Anzeige liefern, wenn sie Aufzeichnungen über Benutzeraktivitäten machen, protokollieren oder anderweitig aufzeichnen.“

In einer E-Mail an TechCrunch sagte ein Apple-Sprecher: „Der Schutz der Privatsphäre der Benutzer ist im Apple-Ökosystem von größter Bedeutung. Unsere App Store Review Guidelines verlangen, dass Apps eine ausdrückliche Zustimmung des Benutzers einholen und bei der Aufzeichnung, Protokollierung oder anderweitigen Aufzeichnung von Benutzeraktivitäten eine klare visuelle Anzeige liefern. Wir haben die Entwickler benachrichtigt, die gegen diese strengen Datenschutzbestimmungen und Richtlinien verstoßen, und werden bei Bedarf sofort Maßnahmen ergreifen.“

Der in den Apps verwendete Code stammt von der israelischen Firma Glassbox. Sie stellt ein plattformübergreifendes Analysetool zur Bildschirmerfassung bereit. App-Entwickler können damit sämtliche Benutzereingaben aufzeichnen. Laut einer Analyse von App Analyst maskiert die iPhone-App von Air Canada die Wiedergabe der Sessions beim Senden nicht richtig, sodass Passnummern und Kreditkartendaten in jeder Wiedergabesitzung offengelegt werden.

Air Canada hat 2018 eingeräumt, dass Daten von 20.000 Profilen an Unbefugte gelangt sein könnten. Gegenüber TechCrunch hat sich Air Canada mit folgender Stellungnahme geäußert: „Air Canada verwendet vom Kunden zur Verfügung gestellte Informationen, um sicherzustellen, dass wir seine Reisebedürfnisse erfüllen und alle Probleme lösen können, die sich auf seine Reisen auswirken könnten. Dazu gehören auch Benutzerinformationen, die in der mobilen App von Air Canada eingegeben und gesammelt werden. Allerdings erfasst Air Canada keine Telefonbildschirme außerhalb der Air Canada App.“

Neben Glassbox vermarkten noch weitere Firmen wie Appsee und UXCam ähnliche Analysedienste an. Die Lösungen stehen selbstverständlich auch für Android zur Verfügung. Derzeit ist nicht bekannt, welche Android-Anwendungen derartige Technologien verwenden. Dass die Technik zur Aufzeichnung von Nutzereingaben auch unter Android genutzt wird, dürfte allerdings sehr wahrscheinlich sein.

Schutzmaßnahmen

Nutzer können sich gegen diese Überwachungsmaßnahmen schützen, indem sie eine Firewall einsetzen, die ausgehende Verbindungen blockiert. Unter Android ist hierfür das Tool Blokada geeignet. Da die App auch sämtliche Verbindungen zu Anzeige-Servern blockt, steht sie im Play Store von Google allerdings nicht zur Verfügung. Auch im Apple App Store sucht man derartige Apps vergeblich. So wurde beispielsweise AdGuard Pro verbannt, weil es auch sämtliche Verbindungen zu Ad-Servern verhinderte. Mit Guardian Mobile Firewall steht eine neue Anwendungen in den Startlöchern, die den Schutz der Privatsphäre unter iOS verspricht und im Frühjahr erscheinen soll. Ob sie es in den App Store schafft, bleibt jedoch abzuwarten.