2406683

Session Replay: iPhone-Apps schneiden unbemerkt Nutzer-Aktionen mit

07.02.2019 | 09:59 Uhr | Peter Müller

Mittels einer Analytics-Anwendung können iPhone-Apps Gesten und Angaben der Nutzer mitschneiden.

Ohne Rückfrage: Dass Apps Informationen über ihre Nutzer auf iPhone und iPad sammeln, um einerseits ihre Services zu verbessern und andererseits diese Daten zu Werbezwecken an Dritte verkaufen, ist nicht neu – gegen die meisten Sammelkationen gibt es Gegenmaßnahmen.

Eine von " TechCrunch " in Auftrag gegebene Untersuchung hat aber entdeckt, dass Marktforscher im Auftrag von Unternehmen wie Air Canada, Hollister oder Expedia noch viel weiter gehen und ohne Wissen des Anwenders Aktionen auf dem Bildschirm aufnehmen und auswerten. Vor allem Anbieter von Hotel- und Reise-Apps, Banken und Mobilfunkanbietern nutzen die Dienste der Marktforscher von Glassbox, um an Informationen zu gelangen, die auch sensible Daten enthalten können, welche die Nutzer freiwillig eher nicht freigegeben hätten.

Technisch nutzen die Apps die Funktion des "Session Replay", die Entwicklern wertvolle Informationen über das Verhalten ihrer Software und die Interaktion der User damit geben können. Jedes Wischen, jeder Druck und jede Eingabe wird dabei protokolliert. Doch können Anwendungen wie der der Air Canada bei unsachgemäßer Implementation auch Informationen über Kreditkartennummern oder Adressen an den Entwickler zurück spielen. Schlecht, wenn dann wie bei dieser Anwendung ein Datenleck hinzukommt, das 20.000 Nutzerprofile in die Öffentlichkeit sickern ließ.

Zwar gab nicht jeder der untersuchten Apps maskierte Daten weiter, aber keine der Anwendungen unterrichtete ihre Anwender darüber, ganze Sessions an den Entwickler direkt oder den Server von Glassbox zurück zu spielen. Hier besteht ein enormes Sicherheitsrisiko, wenn Kreditkarten- oder Passnummern im Klartext unterwegs sind. Ob eine App derart Daten sammelt und auswertet, lässt sich nur mit einer Man-in-the-middle-Software ermitteln, die den ausgehenden Traffic überwacht, in den Datenschutzrichtlinien, die jede App anbieten muss, steht nirgends etwas dazu.

Macwelt Marktplatz

2406683