Logo von heise online

Suche
Ronald Eikenberg 269

iOS-App verschickt Adressbuch an den Hersteller

Die iOS-App des sozialen Netzwerk Path überträgt ungefragt das gesamte Adressbuch des Nutzers an einen Server des Betreibers, wie der nicht mit dem Projekt in Verbindung stehende Entwickler Arun Thampi entdeckt hat. Der Anwender wird nicht darüber informiert.

Anzeige


Path übermittelt sämtliche Kontakte an einen Server des Unternehmens – ohne um Erlaubnis zu fragen. Vergrößern
Bild: heise Security
Thampi hat nach der Registrierung eine HTTP-Anfrage an die URL https://api.path.com beobachtet, die mittels POST-Kommando eine PLIST-Datei vom iOS-Gerät an den Server überträgt. Diese Datei enthält das gesamte Adressbuch, einschließlich Telefonnummern, Mailadressen und Postanschriften der Kontakte. heise Security konnte dies mit der aktuell im App Store angebotenen Version 2.0.5 nachvollziehen.

Path-Geschäftsführer Dave Morin hat bereits auf die Analyse reagiert. Er sagt, diese Daten würden nur verwendet, um den Nutzer auf Freunde und Bekannte hinzuweisen, die den Dienst ebenfalls nutzen. Die übermittelten Daten würden bei Path gespeichert. Selbstständig löschen können die Anwender die Kontaktdaten derzeit nicht, schreibt Morin. Will man sie entfernen lassen, soll man sich an den Support (service@path.com ) wenden. Auf die Frage, warum die App hierzu das gesamte Adressbuch übertragen müsse, schließlich würden Hashes der Mail-Adressen für diesen Zweck völlig ausreichen, bedankte sich Morin lediglich für diesen guten Einfall. Das Team wolle darüber nachdenken.

Damit entfacht sich die Diskussion um den uneingeschränkten Adressbuchzugriff von iOS-Apps erneut. Path ist nicht die erste App, die sich ohne Hinweis oder Zustimmung des Nutzers an dessen Adressbuch bedient. Vor einiger Zeit gerieten schon einmal Dragon Dictation und die Facebook-App in die Schlagzeilen deswegen, korrigierten das Verhalten daraufhin aber. Andere Apps zeigen entsprechende Hinweise vor dem Übertragen der Adressdatenbank schon von Beginn an.

Anders als die Abfrage des Aufenthaltsorts, die das System zwingend mit einem Warnhinweis versieht, muss eine App, die das Adressbuch ausliest, darauf nicht hinweisen. Apples Entwickler-Richtlinien verpflichten zwar, den Nutzer über die Sammlung und Nutzung seiner Daten stets “klar und komplett" zu informieren, doch solange iOS dies nicht mit einer Zwangsabfrage verknüpft, bleibt das Problem bestehen. Path dürfte daher kaum der letzte Adressbuchabgreifer bleiben.

Ab Version 2.0.6 sollen die Daten nur übertragen werden, wenn der Anwender eine entsprechende Option aktiviert, sagt Morin. Die Version sei bereits bei Apple zur Prüfung eingereicht worden. In der Android-Version der App soll diese Wahlmöglichkeit bereits seit einigen Wochen vorhanden sein.

Update vom 09.02.2012: Inzwischen wird das Update auf Version 2.0.6 über den App Store verteilt. Die App fragt den Nutzer nun, ob er der Übertragung seiner Kontakte zustimmt. Path-CEO beteuert im Blog des Unternehmens, dass man einen Fehler begangen habe. Alle ungefragt übermittelten Kontaktinformationen seien gelöscht worden. (lbe) / (rei)

269 Kommentare

Themen:

  1. "Move to iOS": Apple will Android-Nutzer umziehen

    "Move to iOS": Apple will Android-Nutzer umziehen

    Apple plant, zusammen mit iOS 9 eine weitere Android-App einzuführen: Sie soll den Umstieg auf das iPhone erleichtern.

  2. Smarte Lampen von Philips: Ärger mit Hue-App unter iOS

    Smarte Lampen von Philips: Ärger mit Hue-App unter iOS

    Das kürzlich veröffentlichte Update der Steueranwendung für iPhone und iPad stürzt bei vielen Nutzern direkt nach dem Start ab. Bislang gibt es keine Abhilfe, von einer Aktualisierung sollte abgesehen werden.

  3. InstaAgent: Passwort-sammelnder Instagram-Client fliegt aus App Store und Google Play

    InstaAgent

    Die App, die Nutzern verschiedene Zusatzinformationen zu ihrem Profil bei Facebooks populärem Foto-Dienst verspricht, sendete offenbar Instagram-Benutzernamen und Passwort im Klartext an einen Dritt-Server.

  4. iOS und OS X: Safari-Vorschläge legen Apples Webbrowser lahm

    Apple

    Eine Fehlkonfiguration bei Apples Suchhilfe scheint aktuell der Grund für einen sofortigen Absturz von Safari, wenn Nutzer auf iPhone oder iPad die Adresszeile auswählen oder eine Eingabe starten. Das Problem lässt sich umgehen.

  1. Brief-Deko

    Am Anfang war die Textnachricht, manchmal aufgepeppt durch Smileys. Heute kann man mit den richtigen Tools Nachrichten leicht durch Bilder, Fotos oder Videos einen persönlicheren Anstrich geben.

  2. iBeacons statt NFC

    Apples iBeacon-Dienst navigiert iOS-7-Nutzer durch Räume und schickt passende Informationen auf deren Geräte. Zusammen mit einem mobilen Bezahlsystem könnte die auf Bluetooth LE aufsetzende Technik nicht nur unser Einkaufsverhalten revolutionieren.

  3. App in der Freiheit

    Geld lässt sich verdienen, auch wenn man nicht fest in Lohn und Brot steht. Allerdings gibt es dann neben der eigentlichen Arbeit noch vieles zu tun. Leichter geht das mit diversen Apps für die mobilen Endgeräte.

  1. Internet-Traffic: Android baut Dominanz aus

    Internet-Traffic: Android baut Dominanz aus

    Android verursacht mehr Web-Traffic als alle anderen Mobilbetriebssysteme zusammen. Auf Apple-Geräte entfällt nur noch etwa ein Drittel des Datenverkehrs und Windows Phone dümpelt im einstelligen Prozentbereich vor sich hin.

  2. Firma hinter der Mikrowellenrakete ist pleite

    Firma hinter der Mikrowellenrakete ist pleite

    Die Firma Escape Dynamics wollte Raumgleiter mithilfe von Mikrowellen ins All schicken und damit die Kosten für Starts drücken. Von Anfang an stand das Unternehmen auf technisch wackeligen Füßen, nun ist es bankrott.

  3. Wenn sie nur wollen: Test Renault Mégane RS

    Wenn sie nur wollen ...

    Franzosen beweisen weltweit im Rennsport, dass sie begnadet Fahrzeuge bauen können, wenn sie nur wollen. Beim Renault Mégane RS hat jemand wirklich gewollt. Er ist besser als OPC und GTI zusammen

  4. Schweizer Volk entscheidet über Nachrichtendienstgesetz

    Schweizer Volk entscheidet über Nachrichtendienstgesetz

    Eine breite Allianz aus Politik und Bürgerrechtlern hat genug Stimmen gesammelt: Jetzt dürfen die Schweizer über erweiterte Befugnisse ihres Geheimdienstes abstimmen.

Anzeige