Uber: Smartphones wurden Personen dauerhaft zugeordnet

Der Fahrtdienst Uber sieht sich neuen Überwachungsvorwürfen ausgesetzt. Das Unternehmen soll bis 2015 Smartphones auch Nutzern weiter zugeordnet haben können, wenn diese die App deinstallliert und dann mit neuem Nutzernamen erneut installiert haben – angeblich um betrügerische Verhaltensweisen von Fahrern zu erfassen.

Das geht aus einem Bericht der New York Times über den Uber-CEO Travis Kalanick hervor. Uber soll sich dabei einer Form des so genannten „Fingerprinting“ bedient haben, bei welchem in diesem Fall durch Speichern der Serien- oder der UDID-Nummer in Verbindung mit dem ehemals genutzten Konto auch Verknüpfungen mit einem neuen Konto erkannt werden konnten – ohne das Wissen der entsprechenden Nutzer. Details sind unbekannt.

Verstoß bewusst vor Apple-Mitarbeitern verschleiert

Um das Vorhaben geheim zu halten und nicht in den Fokus von Apple zu geraten, wurde die Funktion in Cupertino per Geofencing unterbunden – so konnte die vor Ort nicht auffallen. Dennoch flog der Verstoß gegen Apples Datenschutzbestimmungen Anfang 2015 auf, mit der Folge, dass Apple-CEO Tim Cook Kalanick in die Unternehmenszentrale zitierte. Cook gab an, dass ihm zugetragen wurde, dass Uber einige von Apples Regeln gebrochen hätte und machte bei dem Treffen deutlich, dass Apple die Uber-App sofort aus dem eigenen Store entfernen würde, sollte die Überwachung nicht unverzüglich eingestellt werden. Die Folgen für das mit aktuell 60 Milliarden US-Dollar bewerteten Unternehmens wären aufgrund des Nutzerschwundes verheerend gewesen.

Maßnahmen als Schutz vor Betrügereien

Uber gab gegenüber dem IT-Portal TechCrunch nach Veröffentlichung des Berichtes durch die New York Times an, keine Nutzer oder Standorte nach Deinstallation der Software überwacht zu haben. Das Vorhaben hätte lediglich dazu gedient, Kunden vor betrügerischen Absichten zu schützen.

Das Kenntlichmachen von Geräten sollte unter anderem verhindern, dass mit betrügerischen Absichten in Verbindung gebrachte Smartphones auch nach einer Neuinstallation der App für den Dienst genutzt werden könnten. So wollte das Unternehmen unter anderem verhindern, dass sich Betrüger über ein gestohlenes Smartphone bei Uber anmelden, mit einem anderen Gerät sich selbst als Fahrer bestellen, eine kostspielige Fahrt unternehmen und diese dann über eine gestohlene Kreditkarte abrechnen. Gerade auf dem chinesischen Markt, von dem sich Uber mittlerweile wieder zurückgezogen hat, sah sich das Unternehmen seinerzeit diesem Problem ausgesetzt.

Bereits vorher wegen Verstößen aufgefallen

Dennoch ist Uber nicht zum ersten Mal durch fragwürdige Methoden aufgefallen: Bereits im Jahr 2014 deckte der Sicherheitsforscher Will Strafach, Präsident der Sudo Security Group, im Quellcode der Applikation erste Hinweise auf das beschriebene Fingerprinting auf. Dennoch waren die Folgen dieser Methode allem Anschein nach nicht so weitreichend wie zunächst angenommen, denn die damalige App-Version hatte es vor allem auf die Seriennummer des Mobilgerätes abgesehen – ein Ziel, das zumindest bei Smartphones von Apple seit iOS 9 nicht mehr erreichbar war. Im Jahr 2016 erregte das Unternehmen darüber hinaus mit der Ankündigung Aufsehen, dass die Software noch bis zu fünf Minuten nach dem Eintreffen am Standort die Position des Nutzers erfassen wolle – angeblich um zu überprüfen, ob der Fahrer den Kunden auch an einem sicheren Ort abgesetzt hatte.