Simpler Hack hebt Datenschutz der Color-App aus

Inhalte der viel diskutierten App lassen sich problemlos aus der Ferne abgreifen. Ein Sicherheitsexperte demonstriert, wie einfach man der App einen falschen Aufenthaltsort vorgaukeln kann - und somit Zugriff auf Fotos Fremder bekommt. Auch der Color-Chef wurde so vorgeführt.

Vergangene Woche war es die wohl am intensivsten diskutierte App: Color, eine Programm für iPhone und Android, das Fotos an Menschen in der Umgebung schickt und dabei auf neue Methoden der Ortsbestimmung zurückgreift. Aufmerksamkeit bekam die App nicht nur wegen seiner Macher – allesamt IT-Veteranen – und großzügiger sowie prominenter Geldgeber, kritisiert wurde auch der lasche Umgang mit Privatsphäre: Fotos werden an beliebige Leute in der Umgebung geschickt, eine Kontrolle ist kaum möglich.

Wie Forbes nun berichtet, sind die Fotos aber nicht nur von App-Nutzern in der Umgebung einzusehen. Mit einem simplen Hack lässt sich jeder beliebige Foto-Stream abfangen. Forbes bezieht sich dabei auf den Sicherheitsexperten Chris Wysopal, der erklärt, dass sich mit trivialem „geolocation spoofing“ die App austricksen lässt. Nötig ist dazu lediglich ein iPad/iPhone (mit Jailbreak) sowie die App FakeLocation. In seinen Tests gaukelte der in New York wohnhafte Wysopal der Color-App vor, an diversen Locations in den USA zu sein – und hatte sofort Zugriff auf Fotos von Fremden, etwa in Boston oder Palo Alto. Pikantes Detail am Rande: Über diese Methode konnte Wysopal auch den Foto- und Video-Stream von Color-Gründer Bill Nguyen mitprotokollieren. Wysopal prangert die laschen Sicherheitsvorkehrungen an und meint, dass die Lücke beispielsweise für Paparazzi ein gefundenes Fressen sei: Sie müssen aus der Ferne lediglich in angesagten Clubs einchecken und warten. Wysopal schlägt den Color-Machern vor, Ortswechsel zu überwachen: Springt ein User innerhalb kurzer Zeit riesige Distanzen, wäre dies ein Bewies für Geo-Spoofing.

Hack bald als offizielles Feature?
Gegenüber Forbes erklärte ein Sprecher von Color, dass die App nie Privatsphäre angeboten hätte. Jeder, der sie nutze, müsse sich bewusst sein, dass alles, jedes Fotos, jedes Video, jedes Kommentar öffentlich sei. Die Firma denke sogar daran, selbst ein dem Hack ähnliches Feature anzubieten. So könnte es bald möglich sein, für kurze Zeit entfernte Orte auszuspähen.

Mehr zum Thema:

Color: 41 Mio. Dollar für voyeuristische App

Tags: Apps, Datenschutz, Geodienste

• ZWEI KLICKS für mehr Datenschutz! Der 1. KLICK stellt die Verbindung zu Google her. Für die Empfehlung ist ein 2. KLICK notwendig. So können ohne Ihre Zustimmung keine Daten an Google übertragen werden. Details siehe i-Button.
• ZWEI KLICKS für mehr Datenschutz! Der 1. KLICK stellt die Verbindung zu Twitter her. Für die Empfehlung ist ein 2. KLICK notwendig. So können ohne Ihre Zustimmung keine Daten an Twitter übertragen werden. Details siehe i-Button.
• ZWEI KLICKS für mehr Datenschutz! Der 1. KLICK stellt die Verbindung zu Facebook her. Für die Empfehlung ist ein 2. KLICK notwendig. So können ohne Ihre Zustimmung keine Daten an Facebook übertragen werden. Details siehe i-Button.
• Auf allen Internet-Seiten, wo Like-it-Buttons standardmäßig eingebunden sind, werden ständig und ohne Zutun der User Daten an Facebook übertragen. Das bedeutet: Auch wenn Sie noch gar keinen Like-It-Button geklickt haben, wird unter anderem die URL der besuchten Seite, aber auch eine Kennung, die zumindest bei dort angemeldeten Nutzern direkt mit einer Person verknüpfbar ist, an die Betreiber gesendet. Damit lassen sich (anonymisierte) Surfprofile der Nutzer erstellen.
  
  Auch wenn das in der Regel zu keinem Problem führt, ist das mit dem in unseren AGBs formulierten Versprechen, mit Ihren Daten so sorgsam wie nur irgend möglich umzugehen, nicht vereinbar. Daher werden auf futurezone.at sämtliche Verbindungen zu Social-Media-Plattformen nicht automatisch sondern mit einer Zwei-Klick-Lösung realisiert. Die Verbindung zu Facebook & Co wird erst durch aktives Klicken der Buttons hergestellt. Für die eigentliche Empfehlung ist dann ein zweiter Klick nötig. Zugegeben: Das bedeutet einen geringen Komfortverlust. Dafür können Sie aber - egal ob Sie unsere Social-Media-Angebote nutzen oder nicht - absolut sicher sein, dass ohne Ihre Zustimmung keine Daten an Dritte ertragen werden.
  
  Beim Aktivieren der Buttons werden Sie - wenn Sie nicht bereits auf Ihrer Social-Media-Plattform eingeloggt sind - in einem neuen Fenster zur Anmeldung aufgefordert. In diesem Fall wird ein Cookie auf Ihrem Rechner platziert und Ihre Empfehlung an die jeweilige Social-Media-Plattform übertragen. Welche Nutzer dort diese Empfehlung sehen können, hängt von den Privatsphäre-Einstellungen ab, die Sie im Profil der jeweiligen Social-Media-Plattform getroffen haben.
• Mail an Editor