Ohne Nutzerwissen: Bekannte iOS-Apps zeichnen heimlich Bildschirminhalt auf
Wie TechCrunch und The App Analyst herausgefunden haben, zeichnen zahlreiche bekannte iOS-Apps vom Nutzer unbemerkt im Hintergrund ihren eigenen Bildschirminhalt auf. Durch das Aufzeichnen der Interaktionen können so auch persönliche Daten an Personen offengelegt werden, für die sie gar nicht bestimmt sind.
Zuerst fiel das heimliche Aufzeichnen des Bildschirminhalts, wovon der Nutzer keinerlei Kenntnis hat und auch gar nicht haben kann, bei der App der kanadischen Fluggesellschaft Air Canada auf. Air Canada setzt in der App auf Technologie des Unternehmens Glassbox, die der Messung der Kundenzufriedenheit und ihrer -verbesserung, sowie der Fehleranalyse dienen soll. Bei Problemen können Mitarbeiter so nachvollziehen, wie der Nutzer mit der App interagiert hat.
Screenshots des Bildschirminhalts landen auf Drittservern
App-Nutzern wird dabei allerdings nicht gesagt, dass diese Technik im Hintergrund in der Air-Canada-App fortwährend Screenshots des gerade angezeigten Bildschirminhalts aufnimmt. Dabei werden auch Anschriften, Kreditkarteninformationen und Passwörter potentiell aufgezeichnet und übertragen, da die Maskierung nicht immer zuverlässig funktioniert. Mitarbeitern von Air Canada würde so ungewollt Zugriff auf diese Daten gegeben. Aber nicht nur diesen, denn die Daten werden auf den Servern von Glassbox gespeichert, sodass unter Umständen auch Mitarbeiter von Glassbox auf diese zugreifen können.
So bekommt auch der Tweet von Glassbox, mit dem die Möglichkeiten des Dienstes beworben werden, einen zynischen Beigeschmack.
Nicht nur Air Canada betroffen
Air Canada ist nicht das einzige Unternehmen, das auf diese Technologie von Glassbox setzt. Auch Expedia, Abercrombie & Fitch, Hollister, Hotels.com und Singapore Airlines nutzen diese beispielsweise, um nur einige zu nennen, die als Kunden von Glassbox genannt werden oder von The App Analyst untersucht wurden. Nicht jeder sendet dabei allerdings die aufgezeichneten Bilder an die Server von Glassbox. Während Hollister und Abercrombie & Fitch die Daten bei Glassbox speichern, nutzen Expedia und Hotels.com beispielsweise eigene Server.
Unternehmen wenig einsichtig
Auf Nachfrage von TechCrunch gaben die Unternehmen an, die Daten nur zur Verbesserung ihrer Dienste zu nutzen oder um Probleme zu erkennen. In Zukunft nicht mehr auf den Dienst zu setzen oder die Kunden ausreichend über den Einsatz zu informieren, kündigte allerdings kein Unternehmen an. Keine einzige Datenschutzerklärung oder Nutzungsbedingung einer der geprüften Apps erwähnt diesen Umstand. Glassbox selbst erzwingt eine Erwähnung durch die Kunden nicht.
Air Canada merkte lediglich an, dass nur Aufnahmen in der App selbst erstellt werden, das Unternehmen jedoch keine Aufnahmen außerhalb der App machen könne und wenn diese nicht geöffnet sei. Auch ein überlagerndes Keyboard werde beispielsweise nicht aufgezeichnet, sondern nur der in der App sichtbare Bildschirminhalt – und somit etwaige, unverschlüsselte über das nicht aufgenommene Keyboard getätigte Eingaben.
The App Analyst hat in einem Video beispielhaft die von der Air-Canada-App gemachten Screenshots veröffentlicht, die auch persönliche Informationen preisgeben.
Verstoß gegen Apples Richtlinien
Unklar ist, inwiefern die Apps durch dieses Verhalten gegen die Nutzungsbedingungen des App Stores von Apple verstoßen und Apple nun Änderungen oder Löschungen erzwingen könnte. Da sie die Aufzeichnungen nicht in der erforderlichen Datenschutzrichtlinie nennen, erfüllen sie formal nicht Apples Vorgaben.
Wie Apple gegenüber TechCrunch erklärt hat, hat man die Entwickler der Apps informiert, dass sie wahlweise die Glassbox-Technologie aus ihren Apps ausbauen oder aber die Nutzer in den Datenschutzrichtlinien über die Hintergrundaufnahmen in der App informieren und während der Aufnahme einen Hinweis in der App anzeigen müssen. Andererseits werde Apple die betroffenen Apps aus dem App Store entfernen. Apple hat den Entwicklern dabei eine Frist von weniger als einem Tag gesetzt, um eine neue Version ihrer App einzureichen.
Protecting user privacy is paramount in the Apple ecosystem. Our App Store Review Guidelines require that apps request explicit user consent and provide a clear visual indication when recording, logging, or otherwise making a record of user activity. We have notified the developers that are in violation of these strict privacy terms and guidelines, and will take immediate action if necessary.
Apple gegenüber TechCrunch
Grundsätzlich steht Glassbox auch für Android-Apps zur Verfügung. Ob Google bereits aktiv wurde, ist bislang jedoch nicht bekannt. Auch unter Android ist das Aufzeichnen im Hintergrund ohne Wissen des Nutzers untersagt.