Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.683.110 Produkten

Ronald Eikenberg 269

iOS-App verschickt Adressbuch an den Hersteller Update

Die iOS-App des sozialen Netzwerk Path überträgt ungefragt das gesamte Adressbuch des Nutzers an einen Server des Betreibers, wie der nicht mit dem Projekt in Verbindung stehende Entwickler Arun Thampi entdeckt hat. Der Anwender wird nicht darüber informiert.

Anzeige
Path übermittelt sämtliche Kontakte an einen Server des Unternehmens – ohne um Erlaubnis zu fragen. (Bild: heise Security)

Thampi hat nach der Registrierung eine HTTP-Anfrage an die URL https://api.path.com beobachtet, die mittels POST-Kommando eine PLIST-Datei vom iOS-Gerät an den Server überträgt. Diese Datei enthält das gesamte Adressbuch, einschließlich Telefonnummern, Mailadressen und Postanschriften der Kontakte. heise Security konnte dies mit der aktuell im App Store angebotenen Version 2.0.5 nachvollziehen.

Path-Geschäftsführer Dave Morin hat bereits auf die Analyse reagiert. Er sagt, diese Daten würden nur verwendet, um den Nutzer auf Freunde und Bekannte hinzuweisen, die den Dienst ebenfalls nutzen. Die übermittelten Daten würden bei Path gespeichert. Selbstständig löschen können die Anwender die Kontaktdaten derzeit nicht, schreibt Morin. Will man sie entfernen lassen, soll man sich an den Support (service@path.com ) wenden. Auf die Frage, warum die App hierzu das gesamte Adressbuch übertragen müsse, schließlich würden Hashes der Mail-Adressen für diesen Zweck völlig ausreichen, bedankte sich Morin lediglich für diesen guten Einfall. Das Team wolle darüber nachdenken.

Damit entfacht sich die Diskussion um den uneingeschränkten Adressbuchzugriff von iOS-Apps erneut. Path ist nicht die erste App, die sich ohne Hinweis oder Zustimmung des Nutzers an dessen Adressbuch bedient. Vor einiger Zeit gerieten schon einmal Dragon Dictation und die Facebook-App in die Schlagzeilen deswegen, korrigierten das Verhalten daraufhin aber. Andere Apps zeigen entsprechende Hinweise vor dem Übertragen der Adressdatenbank schon von Beginn an.

Anders als die Abfrage des Aufenthaltsorts, die das System zwingend mit einem Warnhinweis versieht, muss eine App, die das Adressbuch ausliest, darauf nicht hinweisen. Apples Entwickler-Richtlinien verpflichten zwar, den Nutzer über die Sammlung und Nutzung seiner Daten stets “klar und komplett" zu informieren, doch solange iOS dies nicht mit einer Zwangsabfrage verknüpft, bleibt das Problem bestehen. Path dürfte daher kaum der letzte Adressbuchabgreifer bleiben.

Ab Version 2.0.6 sollen die Daten nur übertragen werden, wenn der Anwender eine entsprechende Option aktiviert, sagt Morin. Die Version sei bereits bei Apple zur Prüfung eingereicht worden. In der Android-Version der App soll diese Wahlmöglichkeit bereits seit einigen Wochen vorhanden sein.

Update vom 09.02.2012: Inzwischen wird das Update auf Version 2.0.6 über den App Store verteilt. Die App fragt den Nutzer nun, ob er der Übertragung seiner Kontakte zustimmt. Path-CEO beteuert im Blog des Unternehmens, dass man einen Fehler begangen habe. Alle ungefragt übermittelten Kontaktinformationen seien gelöscht worden. (lbe) / (rei)

269 Kommentare

Themen:

Anzeige
  1. Opera Max reduziert Facebook-Datenverbrauch

    Datenspar-App Opera Max unterstützt Facebook

    Die Datenspar-App Opera Max reguliert den Datenverbrauch von Android-Apps und schont so wertvolles Datenvolumen. Version 3.0 unterstützt nun auch Facebook und bietet ein neues Design.

  2. Krypto-Messenger Signal führt verschlüsselte Nutzerprofile ein

    Krypto-Messenger Signal führt verschlüsselte Nutzerprofile ein

    In der Beta-Version des Messengers für Android und iOS können Nutzer ab sofort Profilinformationen und Nutzerfotos hinterlegen. Diese werden Ende-zu-Ende verschlüsselt und nur ausgewählten Kontakten angezeigt.

  3. Chrome für iOS wird quelloffen

    Chrome für iOS wird quelloffen

    Google hat angekündigt, seinen iPhone- und iPad-Browser künftig dem Chromium-Projekt zuzuordnen. Das soll schnellere Updates garantieren – obwohl der Konzern die Apple-Engine WebKit nutzen muss.

  4. Nachtmodus und mehr: macOS Sierra 10.12.4 zum Download bereit

    Nachtmodus und mehr: macOS SIerra 10.12.4 zum Download bereit

    Neben der Freigabe von iOS 10.3 hat Apple auch sein Mac-Betriebssystem aktualisiert. Für ältere Versionen gibt es Sicherheitsupdates.

  1. Die 10 besten Smart-TV-Apps

    Auf deinem Smart TV solltest du einige Apps unbedingt installieren! Wir zeigen dir die 10 besten Apps für deinen Fernseher.

  2. Analysiert: Spioniert die undokumentierte WhatsApp-Umstellung?

    Analysiert: Spioniert die undokumentierte WhatsApp-Umstellung?

    In der Anzeige von WhatsApp tauchen plötzlich Namen auf, die aus dem privaten Adressbuch stammen. Spioniert die neue Version etwa im Auftrag des Konzerns in den Kontakten der Anwender? heise Security ging dem Verdacht eines Lesers nach und stieß auf spannende WhatsApp-Interna.

  3. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  1. Nintendo Labo: Die Switch wird zum multifunktionalen Papp-Spielzeug

    Nintendo Labo: Die Switch wird zum multifunktionalen Papp-Spielzeug

    Ein Haus oder ein Klavier, eine Angel und ein ferngesteuerter Roboter: Mit Nintendo Labo lassen sich Papp-Konstruktionen basteln, die zusammen mit der Switch zum interaktiven Spielzeug werden.

  2. Meltdown und Spectre: Neustart-Probleme auch mit Skylake- und Kaby-Lake-CPUs, neue Intel-Benchmarks

    Meltdown und Spectre: Neustart-Probleme auch mit Skylake- und Kaby-Lake-CPUs, neue Intel-Benchmarks

    Intel muss in einer neuen Sicherheitsmitteilung einräumen, dass es nach dem Einspielen der Firmware-Updates auch auf Core-i-6000/7000-Systemen zu plötzlichen Neustarts kommen kann.

Anzeige