Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Namhafte Apps spionieren Nutzerverhalten durch Screen Recording aus

iPhone-Apps großer Unternehmen wie Expedia, Hotels.com oder Air Canada zeichnen unbemerkt jeden Fingertipp seiner Nutzer auf. Wie TechCrunch feststellte, müssen die Betreiber ihre Kunden nicht einmal um Erlaubnis fragen. Neben allgemeiner Datenschutz-Bedenken birgt der Transport der sensiblen Daten das Sicherheitsrisiko mit sich, dass Passwörter und Kredikarteninformationen in die falschen Hände geraten.


Glassbox, der „Man in the middle“
Die Aufnahme der App-Bedienung ermöglicht eine Firma namens Glassbox. Das Geschäftsfeld des Unternehmens stellt die Analyse von Anwenderverhalten dar. Darunter fallen auch die „Session Replay Services“ des Konzerns, also die Echtzeitaufnahme der App-Bedienung. Mithilfe der „Session-Replay“-Technologie von Glassbox können die Softwareentwickler und -betreiber jeden Schritt und jede Eingabe des Nutzers nachverfolgen. Die Aufnahmen gehen anschließend entweder über die Server von Glassbox oder kundeneigene Server an die Auftraggeber.

Sensible Daten offengelegt
Einer der Kunden von Glassbox ist die Fluggesellschaft Air Canada. Im Sommer 2018 gab das Unternehmen zu, es seien möglicherweise 20.000 Nutzerprofile „unsachgemäß abgerufen“ worden. 1,7 Millionen Anwender forderte die Airline auf, ihr Passwort zurückzusetzen. Den Hintergrund zu dem Sicherheitsleck lieferte die Seite App Analyst. Air Canada hatte über das Glassbox-SDK Screenshots angefertigt und die Eingaben vor dem Senden nicht richtig maskiert. Dadurch konnten Mitarbeiter der Fluggesellschaft und alle anderen, die Zugriff auf die Screenshot-Datenbank besaßen, unverschlüsselte Kreditkarteninformationen und Passwörter einsehen.

Keine Ankündigung, keine Erwähnung
Für den Bericht analysierten die Verfasser mit einem Experten zusammen mehrere Kunden-Apps von Glassbox. In der Stichprobe hatte keines der Programme Nutzer auf die Möglichkeit der Bildschirmaufnahme hingewiesen – auch nicht im Kleingedruckten. Glasbox sagte auf Nachfrage, das Unternehmen zwinge seine Auftraggeber nicht, die Verwendung von Replay-Services in deren Datenschutzerklärung zu erwähnen. Eine solche Erklärung ist laut Apples App-Store-Richtlinien Pflicht für jede App, die besagten Aufnahmemöglichkeiten fanden sich in keiner.

Glassbox-Kunden sind sich keiner Schuld bewusst
Es gab kaum Reaktionen der betroffenen Unternehmen, nachdem sie zu Statements aufgerufen worden waren. Die Modekette Abercrombie & Finch, zu der auch die Marke „Hollister's“ gehört, schreibt beispielsweise: „Glassbox trägt zu einem nahtlosen Einkaufserlebnis bei, das es uns ermöglicht, alle Probleme zu identifizieren und zu lösen, die während des digitalen Erlebnis unserer Kunden auftreten können“. Man verweist auf die allgemeine Datenschutzerklärung des Konzerns, die Bildschirmaufnahme ebenfalls mit keinem Wort erwähnt. Air Canada betont, man erfasse keine Bildschirmaktivitäten außerhalb der Air-Canada-App. Laut Glassbox geht das auch gar nicht. Neben Glassbox bieten unter anderem Appsee, UXCam und Mixpanel „User-Recoding“ für App-Entwickler und deren Kunden an.
Kopplung "iPhone + Apple Watch" sowie Anbindung von Zubehör: Apple drohen weitere rechtliche Probleme
Kopplung "iPhone + Apple Watch" sowie Anbindung...
10 Jahre Yosemite-Design
10 Jahre Yosemite-Design
Apple Event
Apple Event
Vor 10 Jahren: 3 Milliarden für Beats
Vor 10 Jahren: 3 Milliarden für Beats
Apples Eskalationskurs und Gebühren-Wirrwarr
Apples Eskalationskurs und Gebühren-Wirrwarr
macOS 15 Sequoia: Netzwerkprobleme und Verbindungsabbrüche sorgen für Frust
macOS 15 Sequoia: Netzwerkprobleme und Verbindu...
Kuo: Release der Apple Watch Ultra 3 und SE 3 im nächsten Jahr
Kuo: Release der Apple Watch Ultra 3 und SE 3 i...
Leak aus macOS Sequoia: Apple bestätigt neuen Mac mini?
Leak aus macOS Sequoia: Apple bestätigt neuen M...

Kommentare

nane
nane07.02.19 12:05
MTN
...In der Stichprobe hatte keines der Programme Nutzer auf die Möglichkeit der Bildschirmaufnahme hingewiesen – auch nicht im Kleingedruckten...
...und sowas (also ein Hinweis auf die eingesetzten Techniken, wenn diese die "Privatsphäre" tangieren) wird bei der App-Überprüfung/Freigabe für den AppStore nicht überprüft?
Enttäuschend
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
+11
Chm07.02.19 12:08
Fragen an die Entwickler unter Euch:

So wie ich es verstehe geht es hier um Webanwendungen, und SDKs die clientseitig genutzt werden. Ist das richtig?
Wenn ja, könnte der genutzte Webbrowser die Nutzung erkennen (und ggf. unterbinden)?
+2
Oceanbeat
Oceanbeat07.02.19 12:08
Dann sollte Apples Team sofort den „Kill-Switch" betätigen und den Apps das Zertifikat entziehen. Ich fasses nich...
Wenn das Universum expandiert, werden wir dann alle dicker...?
+12
Dayzd07.02.19 12:13
nane
...und sowas (also ein Hinweis auf die eingesetzten Techniken, wenn diese die "Privatsphäre" tangieren) wird bei der App-Überprüfung/Freigabe für den AppStore nicht überprüft?
Enttäuschend
Für mich ebenfalls unverständlich seitens Apple, vor allem da sie so sehr auf den Schutz der Privatsphäre pochen.
+8
Sideshow Bob
Sideshow Bob07.02.19 12:16
gibt es irgendwo eine Liste der Apps die "Glassbox" verwenden?
+10
camaso
camaso07.02.19 12:17
Und man weiss noch nicht einmal, welche weiteren Apps missbraucht werden (können). Man sollte diese Apps löschen, das würde ggf. Druck auf die Firmen ausüben, die solche Dienste, die eigentlich erweiterte Keylogger sind, verwenden.
+10
MikeMuc07.02.19 12:19
Gibts da ein wenig mehr Hintergrund zu? I
Ist das auch bei IOS möglich oder nur bei Android?
Ganz wichtig: Wie kann man als normaler Nutzer feststellen ob eine App diese Glasboxtechnik verwendet?
Kann das auch im Browser passieren und wenn ja bei welchen und wie kann man es dort abwürgen mit welchen Einstellungen bei welchen Plugins?

Bitte etwas meh Hintergrundrecherchen...
-11
MetallSnake
MetallSnake07.02.19 12:30
MikeMuc
Gibts da ein wenig mehr Hintergrund zu?
Ist das auch bei IOS möglich oder nur bei Android?

Bitte etwas meh Hintergrundrecherchen...

Wie wärs erstmal damit den Artikel zu lesen? Es geht hier explizit um iPhones (also iOS)!
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
dsieb07.02.19 12:31
Sideshow Bob
gibt es irgendwo eine Liste der Apps die "Glassbox" verwenden?
Die bzw. einige Kunden kannst du dir hier ansehen.

Ob die jetzt Web oder App-Tracking über Glassbox betreiben, ist nicht direkt ersichtlich. Einige Banken auch dabei, ist natürlich bei so einem Thema auch immer schön...
+3
aMacUser
aMacUser07.02.19 12:37
Das Problem wird hier nicht bei Glassbox liegen. Ich benutze ein ähnliches Tool eines anderen Herstellers selbst für eine Webseite. Solange man das Tool in der Datenschutzerklärung DSGVO-konform erwähnt, ist es vollkommen legal zu nutzen. Und zumindest bei dem Tool, welches ich nutze, lassen sich Blackbox-Bereiche festlegen, die nicht aufgezeichnet werden dürfen. Das ist insbesondere für Anzeigen und Eingabefelder von sensiblen Daten wichtig. Aber das ist natürlich die Aufgabe des jeweiligen Kunden, diese Bereiche auch korrekt einzurichten. Glassbox bietet hier lediglich ein Tool an, welches grundsätzlich vollkommen legal ist.
0
NikNik07.02.19 12:38
MetallSnake
Wie wärs erstmal damit den Artikel zu lesen? Es geht hier explizit um iPhones (also iOS)!

Fairerweise muss man sagen, dass der MTN Artikel weder iOS, noch iPhone, noch Apple erwähnt.
Da ja hier immer wieder intensiv Richtung Android geschossen wird, braucht man sich auch nicht wundern, wenn die Leute dann zuerst an Android denken. iOS wird ja hier immer so verkauft, als würde sowas dort unmöglich sein.
+6
mac_heibu07.02.19 12:57
Niknik, das ist einfach — Quatsch!
-5
Langer
Langer07.02.19 13:22
Jetzt wird es spannend:
GDPR fordert ja, dass die App Betreiber die über mich gespeicherten Daten nach Anforderung an mich herausgeben müssen. Da sollte das Screenrecording doch enthalten sein - oder?
+8
MetallSnake
MetallSnake07.02.19 13:41
aMacUser
Glassbox bietet hier lediglich ein Tool an, welches grundsätzlich vollkommen legal ist.

Das macht es nicht besser dass sowas kriminelles auch noch Legal ist. :'(
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
+5
chb07.02.19 13:42
Ist doch bei vielen Anwendung an der Tagesordnung...
Facebook zeichnet auf, wo sich der Mauscursor befindet, über welchem Beitrag, wie lange, wo gescrollt wird, ob wieder zurückgescrollt wird, welche User der Reihe nach angeklickt werden und so weiter und so fort...
Verstehe hier die Aufregung nicht. Ist doch klar, dass auch Shoppingportale wissen möchten, wie lange welcher Artikel betrachtet wird, wo draufgeklickt wird und wo nicht, und welcher Inhalt dem User gerade präsentiert wird wissen sie ja sowieso.
Hier geht es ja nicht um echtes Screenrecording, sondern um Clickstreams. Daten wie deine Statusbar oder Aktivitäten außerhalb der App können nicht aufgezeichnet werden. Ob sich der Betreiber die gesammelten Daten dann schön über einen Screenshot legt bleibt ja ihm überlassen.
-3
NikNik07.02.19 13:44
mac_heibu
Niknik, das ist einfach — Quatsch!

Aber es stimmt doch: Im Artikel geht es, anders als behauptet, nicht explizit um iOS oder iPhone.
0
ssb
ssb07.02.19 13:44
GDPR sagt auch bei Verstößen sind hohe Strafen zu zahlen. Man wird sehen, ob die dann von Glassbox oder deren Kunden bezahlt werden muss.

Allgemein muss man aber davon ausgehen, dass alle Apps, die mit einem Web-Backend kommunizieren (Reiseportale, WebShops), so etwas kaum nötig haben. Es werden einfach alle Anfragen, die an das Backend geschickt werden, mit einem Token versehen und aufgezeichnet. So wie es eben das Web-Angebot auch macht. Das muss dann kein Problem der App sein - führt also nicht zu Problemen mit dem AppStore Review. Das erfolgt Server-seitig. So wie ich das verstanden habe wird auch kein reales Screen-Recording erstellt, sondern aus den gesammelten Daten lassen sich Screen-Recordings simulieren. Das SDK liefert praktisch das Drehbuch, welches dann mit der Software in einen Film umgerechnet werden kann.

Also auf jeden Fall geht das zu weit und neben der Warnung sollte es auch möglich sein, das Recording zu deaktiveren. Ich wurde mal von einem Kunden gefragt, was die Implementierung einer ähnliche Funktion in die App, die ich für ihn programmiert habe, kosten würde. Ich weiß nicht mehr, um welches Tool es sich da handelte. Ich hatte das (bereits vor GDPR) wegen Datenschutz-Komplikationen abgelehnt, solange er diesbezüglich kein Konzept vorlegen kann, dass es konform wird. Wären einige Euros gewesen, aber ich habe darauf gerne verzichtet...
0
Langer
Langer07.02.19 13:55
Das muss ja nicht generell schlecht sein. Im ersten Ansatz geht es imho darum als User die Transparenz zu haben, DASS es passiert und im Anschluss daran, WAS damit passiert. Das ist sicherlich eine Lernkurve auf Anbieter- und Konsumentenseite.

So wie es jetzt ist, klingt es zu Recht nach einer illegalen Handlung seitens App Anbieter.

+1
rosss07.02.19 14:04
Also ich kann nicht erkennen, wie die genannte Form der heimlichen Ausspähung in irgendeiner Form DSGVO-konform sein soll. Vergleiche:
https://dsgvo-gesetz.de/art-6-dsgvo/
Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung
1Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
2Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
+4
MikeMuc07.02.19 14:20
MetallSnake
Wie wärs erstmal damit den Artikel zu lesen? Es geht hier explizit um iPhones (also iOS)!
Ja, genau. Lies mal den Artikel nicht nur die Überschrift. Das steht da in keinster Weise das es sich um IOS handelt. Lediglich, wie ich jetzt sehe, kann man es aus der Website durch die Überschrift erkennen "IOS Software". Die wird aber in der App von wo ich oben schrieb unpraktischer Weise nicht angezeigt.
Und da es keinerlei weiterführende Links gibt (auch auf der Website nicht), wir hier aber bei MacTechNews sind und nicht bei der Bild, darf ich schon ein klein wenig mehr Info wünschen.

Und zum Thema: wer ungefragt Screenshots anfertigt und dann mit dem SDK auch noch nicht richtig umgeht dem gehört recht kräftig in den Allerwertesten getreten und zwar so, das es sehr weh tut.

Hat wirklich keiner eine Idee, wie man Apps auf diesen Mist untersuchen kann?
0
deus-ex
deus-ex07.02.19 14:36
Nur mal so aus Entwicklersicht. Apple und Co. können da rein technisch ersteinmal gar nichts machen. Ich kann mit den vorhandenen APIs alle aktivitäten MEINER App aufzeichnen. Ob das legal ist steht auf einem anderen Papier.
Bei Websites ist es noch schlimmer. Da bekommt das der Client überhaupt nicht mehr mit.
Man kann versuchen zu reglementieren oder zu reviewen. Aber wenn der Betreiber die aktivitäten in seinen Anwendungen aufzeichnen will wird er das technisch immer tun können. Auch wenn es illegal ist. Hier kann man zumindest auf App Ebene mit Entzug von Zertifikaten handeln. Bei Websites haben Apple und Co. Keine Chance.
+2
Stefan S.
Stefan S.07.02.19 14:45
Alle Apps die das verwenden bitte rausschmeissen, Apple. Danke.
Dass manche meinen das wäre irgendwie, bla blubb. Nein, ich erwarte das bei keiner meiner Apps. Betatester gibt es woanders. Was soll der Scheiß?
+2
sierkb07.02.19 14:46
MikeMuc
Hat wirklich keiner eine Idee, wie man Apps auf diesen Mist untersuchen kann?

Z.B. mit
Guardian Mobile Firewall for iOS von Will Strafach

TechCrunch (24.10.2018): A new ‘smart firewall’ iPhone app promises to put your privacy before profits

Will Strafach via Twitter dazu: , ebenso lesenswert seine anderen Äußerungen und Retweets zu aktuellen Geschehnissen, z.B.
0
MetallSnake
MetallSnake07.02.19 14:50
MikeMuc
Und da es keinerlei weiterführende Links gibt (auch auf der Website nicht), wir hier aber bei MacTechNews sind und nicht bei der Bild, darf ich schon ein klein wenig mehr Info wünschen.

Im zweiten Satz ist ein Link zu https://techcrunch.com/2019/02/06/iphone-session-replay-scre enshots/
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
+1
deus-ex
deus-ex07.02.19 15:08
Alles schrott. Wer sich nur ein bisschen auskennt weiß das es auf Grund rigorosem Sanboxing auf iOS keine funktionierenden Firewall oder Virusscanner von Dritten geben kann auser man Jailbreakt das Gerät.
sierkb
MikeMuc
Hat wirklich keiner eine Idee, wie man Apps auf diesen Mist untersuchen kann?

Z.B. mit
Guardian Mobile Firewall for iOS von Will Strafach

TechCrunch (24.10.2018): A new ‘smart firewall’ iPhone app promises to put your privacy before profits

Will Strafach via Twitter dazu: , ebenso lesenswert seine anderen Äußerungen und Retweets zu aktuellen Geschehnissen, z.B.
0
sierkb07.02.19 15:49
heise (10.09.2018): Analyse: Populäre iPhone-Apps übertragen Aufenthaltsort an Werbefirmen
Eine wachsende Zahl an Apps setzt auf ein exaktes Tracking des Standortverlaufs und gibt diese Daten an Werbefirmen weiter, warnt ein Sicherheitsforscher.

Forbes (07.09.2018): A Load Of Apple iPhone Apps Are 'Covertly' Selling Your Location
Will Strafach via Twitter, 10.12.2018
read this article asap. some REALLY killer reporting on how third-party apps on your phone silently track your everyday whereabouts and sell the information. it is a disturbing trend in which Apple has been complicit (sadly).
New York Times (10.12.2018): Your Apps Know Where You Were Last Night, and They’re Not Keeping It Secret
Dozens of companies use smartphone locations to help advertisers and even hedge funds. They say it’s anonymous, but the data shows how personal it is.

Guardian App/Will Strafach (14.09.2018): Report: Location Data Monetization in iOS Apps, Last Revised: 14 Sep 2018

Sudo Security
Twitter: Guardian Mobile Firewall (VPN)
-1
Boney07.02.19 23:56
Da helfen nur Sanktionen. Rauswurf + Sperrzeit.
+1
sierkb08.02.19 00:23
TechCrunch (08.02.2019): Apple tells app developers to disclose or remove screen recording code
+1
MetallSnake
MetallSnake08.02.19 08:38
iPhone-ticker (08.02.201): Heimliche Bildschirm-Aufzeichnung: Apple schreitet ein https://www.iphone-ticker.de/heimliche-bildschirmaufzeichnun g-apple-schre...
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
Dayzd08.02.19 10:37
sierkb
TechCrunch (08.02.2019): Apple tells app developers to disclose or remove screen recording code
Immerhin... jedoch zu "nett". Die Apps sollen sofort rausgeschmissen werden und erst wieder aufgenommen werden, wenn die app developer die Vorgaben umsetzen. Jetzt vergeht sicherlich 1-2 Wochen bis die dann mit einer bereinigten App antanzen.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.