Studie: 16 Facebook-Apps geben unerlaubt Daten an Dritte weiter

Forscher der University of Iowa habe eine Methode entwickelt, mit der sich Entwickler von Facebook-Apps überführen lassen, die heimlich Nutzerdaten an Dritte weitergeben. Die CanaryTrap genannte Technik beschreiben die Forscher in einem Whitepaper mit dem Titel „Erkennung von Datenmissbrauch durch Drittanbieter-Apps auf Sozialen Netzwerken“.

Das Verfahren bedient sich sogenannter Honeytokens. Dabei handelt es sich um falsche Daten beziehungsweise Tokens, die in einem Netzwerk platziert werden. Alle Zugriffe auf diese Daten werden erfasst, um auch unerwünschte oder schädliche Aktivitäten zu erkennen. Im Fall von CanaryTrap kamen eindeutige E-Mail-Adressen zum Einsatz, mit den die Forscher falsche Facebook-Konten registrierten.

Um das Verhalten einer App zu studieren, installierten Forscher die Anwendung, nutzten sie für 15 Minuten und entfernten sie anschließend wieder aus dem Facebook-Konto. Danach warteten sie auf neue E-Mail-Nachrichten im Postfach, die sie als Bestätigung für eine Weitergabe der Nutzerdaten an Dritte interpretierten.

Darüber hinaus bedienten sich die Forscher auch Facebooks Transparenz-Tool „Warum sehe ich das?“. Daraus leiteten sie wiederum ab, ob ein Werbetreibender die Honeytoken-E-Mail-Adresse benutzte, um über Facebook zielgerichtete Anzeigen an den Nutzer auszuliefern.

Für ihre Untersuchung testeten die Forscher insgesamt 1024 Facebook-Apps. 16 Anwendungen gaben die E-Mail-Adressen an Dritte weiter. Die wiederum verschickten unerwünschte E-Mails an diese Adressen. Von den 16 Apps verschwiegen sieben eine Verbindung zum Absender der Nachrichten. Aber selbst bei den Apps, die auf Vereinbarungen mit den Absendern verwiesen, hatten die Nachrichten oft keinerlei Bezug zu der fraglichen App.

Bei den sieben Apps, die Daten ohne Wissen der Nutzer weitergaben, konnten die Forscher zudem nicht feststellen, ob es sich um einen absichtlichen Verstoß gegen Facebooks Regeln beziehungsweise Datenschutzbestimmungen handelt, oder ob Sicherheitslücken für den Verlust von Daten verantwortlich waren. In drei Fällen erhielten die Adressen zudem Nachrichten mit gefährlichen oder betrügerischen Inhalten.

Die Forschungsergebnisse sowie die zugehörigen Tools veröffentlichten die Wissenschaftler zudem auf GitHub. Dort stehen sie nun anderen Forschern unter einer Open-Source-Lizenz zur Verfügung.

Facebook war nach Rückfrage von ZDNet USA nicht zu einer Stellungnahme bereit. Ein Sprecher erklärte lediglich, die Daten der Forscher würden noch analysiert. Das Problem an sich ist dem Unternehmen jedoch bekannt. Schon mehrfach ging Facebook deswegen gegen App-Entwickler vor.