“Glassbox”: Populäre iPhone-Apps machen heimlich Screenshots

Einige weltweit oft genutzte iPhone-Apps zeichnen alle Eingaben des Nutzers auf. Dies geschieht zwar mit einem bisher legalen Analyse-Tool, aber oft heimlich und ohne ausreichende Absicherung. Auch Kreditkartendaten sind in Gefahr.

Es ist verständlich, dass App-Entwickler gerne das Nutzerverhalten analysieren, um ihre Anwendungen zu optimieren. Wenn dies offen, sicher und mit Einverständnis des Nutzers geschieht, ist dagegen auch nichts einzuwenden. “Techcrunch” hat allerdings ein Tool ausfindig gemacht, dass in weltweit populären Apps Eingaben detailliert aufzeichnet, wobei Nutzer gar nicht oder nur völlig unzureichend informiert werden. Die Sicherheitsmaßnahmen sind außerdem gelegentlich so schlampig, dass Angreifer leichtes Spiel haben, sensible Daten zu erbeuten.

In Echtzeit sehen, was der Nutzer tut

Der Überwachungsdienst heißt Glassbox.

Unter anderem kommt das Tool in den Apps von Santander, Citibank, Singapore Airlines oder Expedia zum Einsatz, wie der Website des britischen Unternehmens zu entnehmen ist. Es erlaubt den Entwicklern unter anderem, kontinuierliche Screenshots aufzunehmen, wenn die App genutzt wird. In einem Tweet umschreibt Glassbox das so: “Stell dir vor, deine Website oder App könnte in Echtzeit genau sehen, was deine Nutzer gerade tun und warum sie es tun. Das ist keine hypothetische Frage mehr, sondern eine echte Möglichkeit. Das ist Glassbox. Erlebe es selbst.”

Bei der Echtzeit-Analyse können grundsätzlich auch Eingaben von Kreditkarteninformationen inklusive Sicherheitscode aufgezeichnet werden. Eigentlich sollten solche Eingaben auf den Screenshots dann geschwärzt werden, doch das ist offenbar nicht immer der Fall. “App Analyst” hat in der App von Air Canada entdeckt, dass mit Glassbox angefertigte Screenshots bei der Eingabe sensibler Daten nicht geschwärzt wurden.

Kreditkartendaten auslesbar

So konnten unter anderem Kreditkartendaten, Passwörter oder Passnummern von den Entwicklern ausgelesen werden. Durch einen sogenannten man-in-the-middle-Angriff, bei dem sich ein Hacker in die Verbindung zwischen App und Anbieter-Server schaltet, können die Screenshots aber auch Kriminellen in die Hände fallen. Und: Nicht immer würden die Screenshots nur an die Entwickler geschickt, oft würden sie auch auf Glassbox-Servern gespeichert, schreibt “App Analyst”.

Laut “Techcrunch” informieren die meisten Apps die Anwender gar nicht oder nur sehr versteckt und verklausuliert über die Aufzeichnung ihrer Eingaben. Glassbox selbst rät seinen Kunden, Nutzer auch im Kleingedruckten nicht über den Einsatz des Tools zu informieren.

“Techcrunch” fragte nach. Air Canada schrieb, man benötige die gesammelten Informationen, um die Bedürfnisse der Nutzer zu befriedigen und Probleme lösen zu können. Jedenfalls könne Air Canada keine Screenshots außerhalb der eigenen App aufzeichnen. Die meisten angeschriebenen Glassbox-Anwender antworteten gar nicht, kein Entwickler gab an, das Tool künftig nicht mehr einzusetzen oder wenigstens die Nutzer deutlich darüber zu informieren.

Apple reagiert schnell

Sie sind allerdings gezwungen, ihr Verhalten zu ändern. Apple hat auf den Bericht von “Techcrunch” reagiert und mitgeteilt, man habe die Entwickler darüber informiert, dass sie gegen die Regeln des App Store verstoßen, schrieb ein Apple-Sprecher in einer E-Mail. Sie müssten sich entweder die Erlaubnis der Nutzer einholen oder den Analyse-Code aus den Anwendungen entfernen. Falls nötig, werde man umgehend reagieren. Soll heißen: Die Apps fliegen aus dem Store.