Path ist eine hübsch aufbereitete Mischung aus Facebook und Foursquare, und wird als Konkurrenz vor allem für Facebook gehandelt. Seit dem Start im November 2010 wuchs die Nutzerbasis auf über eine Million. Im deutschen App Store ist die Anwendung momentan in den topaktuellen Apps für soziale Netzwerke.
Nun hat der Entwickler Arun Thampi aus Singapur herausgefunden, dass Path ungefragt alle Kontaktdateien aus dem iPhone (Namen, E-Mails, Telefonnummer) an eigene Server sendet. Beim Einrichten des Accounts im neuen sozialen Netzwerk wird nicht ausdrücklich gefragt, ob der Nutzer Zugang zu solchen Dateien erlaubt. Die Standard-Abfragen beziehen sich auf Ortungsdienste und Push-Nachrichten. Auf der Webseite von Path steht im Abschnitt ” Datenschutz-Bedingungen “: “Wir sammeln gewisse persönliche Informationen, die Sie freiwillig für uns freigeben, zum Beispiel beim Einrichten eines Kontos oder Profils, beim Versenden oder Posten der Nachrichten auf unserer Webseite”.
Paths CEO Dave Morin rechtfertigte solches Datenhunger mit besseren Services, die die App bieten kann. Solche persönlich bezogene Dienste bieten aber viele Apps. Technisch gesehen braucht man für diese Aufgaben keine vollständigen Adressdateien. Dafür muss die App die Angaben aus dem Adressbuch verschlüsseln und nur den so genannten Hash (Prüfwert oder Prüfsumme) speichern. Werden die Adressen für bestimmte Funktionen gebraucht, gleicht die App die bereits gespeicherte Prüfsumme mit den vollständigen Angaben vom iPhone und ruft die ensprechende Adresse auf. So bleiben die vollständigen Adressdateien nur lokal auf dem iPhone gespeichert. Diese Vorgehensweise ist auch mit den Richtlinien für App-Entwickler konform: “17.1 Apps können keine personenbezogenen Informationen des Nutzers ohne dessen ausdrückliche Erlaubnis weiterleiten”.
Der Post von Arun Thampi hat anscheinend in den Entwickler-Kreisen auf Resonanz gestoßen. So sind bereits die Mitteilungen über andere Apps wie beispielweise Hipster aufgetaucht, die ähnlich wie Path unverschlüsselt persönliche Nutzerangaben wie UDID und Passwörter auf eigene Server weiterleiten.
Update : Die Entwickler von Path haben heute Nacht in einem längeren Post auf der eigenen Webseite sich entschuldigt und den Nutzern versichert, dass die bis jetzt gespeicherten persönlichen Informationen vom Server gelöscht sind. Dazu gibt es seit heute im App Store eine neue Version von Path 2.0.6, die bei der Anmeldung explizit abfragt, ob die Adressbücher verwendet werden dürfen.
Autor: Peter Müller, Stellv. Chefredakteur
Peter Müller ist seit 1998 bei der Macwelt und schreibt über alles, was einen Apfel drauf hat – oder wo Apple drin ist.