Logo von heise online

Suche
269

iOS-App verschickt Adressbuch an den Hersteller

Die iOS-App des sozialen Netzwerk Path überträgt ungefragt das gesamte Adressbuch des Nutzers an einen Server des Betreibers, wie der nicht mit dem Projekt in Verbindung stehende Entwickler Arun Thampi entdeckt hat. Der Anwender wird nicht darüber informiert.

Anzeige


Path übermittelt sämtliche Kontakte an einen Server des Unternehmens – ohne um Erlaubnis zu fragen. Vergrößern
Bild: heise Security
Thampi hat nach der Registrierung eine HTTP-Anfrage an die URL https://api.path.com beobachtet, die mittels POST-Kommando eine PLIST-Datei vom iOS-Gerät an den Server überträgt. Diese Datei enthält das gesamte Adressbuch, einschließlich Telefonnummern, Mailadressen und Postanschriften der Kontakte. heise Security konnte dies mit der aktuell im App Store angebotenen Version 2.0.5 nachvollziehen.

Path-Geschäftsführer Dave Morin hat bereits auf die Analyse reagiert. Er sagt, diese Daten würden nur verwendet, um den Nutzer auf Freunde und Bekannte hinzuweisen, die den Dienst ebenfalls nutzen. Die übermittelten Daten würden bei Path gespeichert. Selbstständig löschen können die Anwender die Kontaktdaten derzeit nicht, schreibt Morin. Will man sie entfernen lassen, soll man sich an den Support (service@path.com ) wenden. Auf die Frage, warum die App hierzu das gesamte Adressbuch übertragen müsse, schließlich würden Hashes der Mail-Adressen für diesen Zweck völlig ausreichen, bedankte sich Morin lediglich für diesen guten Einfall. Das Team wolle darüber nachdenken.

Damit entfacht sich die Diskussion um den uneingeschränkten Adressbuchzugriff von iOS-Apps erneut. Path ist nicht die erste App, die sich ohne Hinweis oder Zustimmung des Nutzers an dessen Adressbuch bedient. Vor einiger Zeit gerieten schon einmal Dragon Dictation und die Facebook-App in die Schlagzeilen deswegen, korrigierten das Verhalten daraufhin aber. Andere Apps zeigen entsprechende Hinweise vor dem Übertragen der Adressdatenbank schon von Beginn an.

Anders als die Abfrage des Aufenthaltsorts, die das System zwingend mit einem Warnhinweis versieht, muss eine App, die das Adressbuch ausliest, darauf nicht hinweisen. Apples Entwickler-Richtlinien verpflichten zwar, den Nutzer über die Sammlung und Nutzung seiner Daten stets “klar und komplett" zu informieren, doch solange iOS dies nicht mit einer Zwangsabfrage verknüpft, bleibt das Problem bestehen. Path dürfte daher kaum der letzte Adressbuchabgreifer bleiben.

Ab Version 2.0.6 sollen die Daten nur übertragen werden, wenn der Anwender eine entsprechende Option aktiviert, sagt Morin. Die Version sei bereits bei Apple zur Prüfung eingereicht worden. In der Android-Version der App soll diese Wahlmöglichkeit bereits seit einigen Wochen vorhanden sein.

Update vom 09.02.2012: Inzwischen wird das Update auf Version 2.0.6 über den App Store verteilt. Die App fragt den Nutzer nun, ob er der Übertragung seiner Kontakte zustimmt. Path-CEO beteuert im Blog des Unternehmens, dass man einen Fehler begangen habe. Alle ungefragt übermittelten Kontaktinformationen seien gelöscht worden. (lbe) / (rei)

269 Kommentare

Themen:

  1. Apple zeigt angeblich Interesse an dem sozialen Netzwerk Path

    Path Talk zeigt automatisch Statusinformationen – wenn der Nutzer dies will

    Der iPhone-Hersteller steht einem Bericht zufolge in Übernahmeverhandlungen mit dem Start-up Path, das zuletzt einen eigenständigen Messenger veröffentlicht hat.

  2. iPhone-App tauscht App-Listen mit Freunden aus

    Homer gewährt Kontakten einen Blick auf die eigene App-Installationsliste.

    Mit der App Homer kann man seinen Kontakten zeigen, welche Apps man auf seinem iPhone installiert hat. Um die Installationsliste auszulesen, bedient sich Homer eines Tricks.

  3. 69 Prozent der beliebtesten Android-Apps funken im Klartext

    Forschungsergebnisse

    Bei einer Untersuchung von 10,000 Android-Apps haben Forscher herausgefunden, dass die Mehrzahl ihre Datenverbindungen gar nicht verschlüsselt und weitere 26 Prozent SSL so einsetzen, dass die Verbindung angreifbar ist.

  1. Alles auf Abruf

    Nicht jeder will Telefonnummern, Mail-Adressen und Termine auf den Servern von Google und Co. ablegen. Muss man auch nicht, denn mit der OpenSource-Webanwendung OwnCloud kann jeder binnen weniger Minuten seinen eigenen Synchronisations-Server aufsetzen.

  2. iOS 6 am Horizont

    Die für Herbst 2012 angesetzte iOS-Version bringt prominente Neuerungen bei der Karten-App und Siri, eine neue App namens Passbook sowie viele kleinere Verbesserungen mit, die im WWDC-Keynote-Trubel etwas untergegangen sind. Mac & i hat sie zusammengetragen.

  3. iBeacons statt NFC

    Apples iBeacon-Dienst navigiert iOS-7-Nutzer durch Räume und schickt passende Informationen auf deren Geräte. Zusammen mit einem mobilen Bezahlsystem könnte die auf Bluetooth LE aufsetzende Technik nicht nur unser Einkaufsverhalten revolutionieren.

  1. Teurer Typ

    Teurer Typ

    Für die dritte TT-Generation hat sich Audi acht Jahre Zeit gelassen und dann wenig verändert. Äußerlich zumindest. Umso spannender die Frage, wie gut die technische Aufrüstung des neuen Modells funktioniert - und natürlich, wie sich der TT nun fährt

  2. 50 Jahre Moores Gesetz: Von der Performance von Prozessoren und der Komplexität von Chips

    50 Jahre Moores Gesetz: Von der Performance von Prozessoren und der Komplexität von Chips

    Moores Gesetz kennt jeder ITler. Jede zweite ITler streitet gerne darüber, was das Gesetz eigentlich besagt. Aber es ist wirksam, seit einem halben Jahrhundert.

  3. Plastikbrüll

    Kunststoffmotor

    Aus dem Fraunhofer-Institut kommt – nicht zum ersten mal – der Vorschlag, Kunststoff im Motor einzusetzen. Und zwar nicht wie bisher schon üblich, bei ohnehin eher leichten Anbauteilen wie Zylinderkopfhaube, Ansaugtrakt oder Ölwanne, sondern beim massiven Kurbelgehäuse

  4. So erkennen Sie gefälschte Samsung-Akkus

    So erkennen Sie gefälschte Samsung-Akkus

    Viele Fälschungen sehen professionell aus – aber wenn man ein Original daneben hält, fallen Unterschiede auf. Auch der Preis ist ein Anhaltspunkt.

Anzeige