Apps
07.02.2019

Beliebte iOS-Apps zeichnen unbemerkt Bildschirminhalt auf

Viele bekannte iOS-Apps zeichnen jede Interaktion auf und könnten so unbeabsichtigt Passwörter und Zahlungsdaten offenlegen.

Zahlreiche beliebte iOS-Apps zeichnen unbemerkt den Bildschirminhalt bei der Nutzung auf und könnten dabei heikle Informationen, wie Kreditkartendaten, Adressen und Passwörter offenlegen. Das zeigt eine Analyse des Blogs The App Analyst und von TechCrunch. Das problematische Verhalten wurde erstmals bei der App der Fluglinie Air Canada aufgedeckt.

Diese zeichnet mithilfe von Technologie des Unternehmens Glassbox die App-Nutzung mithilfe von Screenshots auf. Dabei wird auch die Eingabe von heiklen Informationen, wie Zahlungsdaten und Passwörtern, überwacht und gespeichert. Mitarbeiter des Unternehmens hätten somit Zugriff auf diese Daten. Da die Aufnahmen aber auch auf den Glassbox-Servern gespeichert werden, hätten theoretisch auch Glassbox-Mitarbeiter Zugang dazu. Derartige „Session Replay“-Dienste sollen Unternehmen eigentlich bei der Analyse von Problemen helfen und derart heikle Daten ausblenden.

Das war jedoch bei Air Canada nicht der Fall. Auch andere namhafte iOS-Apps, unter anderem Expedia, Hotels.com, Abercrombie & Fitch und Singapore Airlines, verwenden die Technologie. Die Hersteller betonten auf Anfrage von TechCrunch, dass man die Daten einsetze, um „die Shopping-Erfahrung zu verbessern“ oder „um Probleme, die auf Reisen auftreten können, zu erkennen“, kündigten aber keine Änderung an. Air Canada betonte jedoch, dass man keine Aufnahmen außerhalb der App anfertigen könne. 

Die Apps könnten auch gegen Apples Nutzungsbedingungen für den App Store verstoßen. Der App Store erfordert eine Datenschutzrichtlinie, die offenlegt, wie Daten erfasst und verarbeitet werden - keine der Apps, die Glassbox verwendete, legte offen, dass der Bildschirminhalt erfasst wird. Die Technologie erfordert auch keinerlei zusätzliche Rechte vom Nutzer, weswegen das Analyse-Tool wohl auch bei der Prüfung der Apps nicht aufgefallen ist.

Es ist nicht das erste Mal, dass ein derartiger Dienst für Ärger sorgt. Bereits 2017 sorgte der Einsatz der Software FullStory auf mehreren bekannten Online-Shops für Aufregung. Eine Studie zeigte, dass über diese Daten heikle Informationen, wie medizinische Erkrankungen, abgeleitet werden können.