iPhone & Co. telefonieren ohne Anonymität nach Hause

Nach «Location Gate» sorgt das nächste Apple’sche Datenschutzproblem für Schlagzeilen: Die UUID, über die jedes iOS-Gerät verfügt, nutzen Apple und den meisten App-Entwicklern um herauszufinden, wo, wann und wie iOS-Geräte genutzt werden. Welche Person ein iOS-Gerät nutzt, soll damit aber nicht verfolgt werden können – jedenfalls verbietet Apple die Deanonymisierung von UUIDs.

Der Neuseeländer Aldo Cortesi hat nun herausgefunden, dass das Deanonymisieren über den OpenFeint-Dienst möglich war:

[…] A slew of interesting security results followed (keep an eye on this blog), but by far the most alarming was the fact that it was possible to use OpenFeint to completely de-anonymize a large proportion of UDIDs.

Bei OpenFeint wurde das Problem inzwischen beheben, doch grundsätzlich besteht es weiterhin, zumal sich die UUID grundsätzlich nicht ändern oder entfernen lässt. Fazit von Aldo Cortesi:

[…] By designing an API to expose UDIDs and encouraging developers to use it, Apple has ensured that there are literally thousands of databases linking UDIDs to sensitive user information on the net. A leak from any one of these – or worse a large-scale de-anonymization like the OpenFeint one – inevitably has serious consequences for user privacy.

Mein Fazit: Apple – Möglichst viele Benutzerdaten, möglichst wenig Datenschutz.

3 Comments

  1. Renato
    4. Mai 2011

    OpenFeint war ganz zum Start schon in einen Datensammlungskandal verwickelt und seit her meide ich den Dienst. Wie sich herausstellt, war das eine gute Entscheidung… =)

    Reply
    • Martin (MacMacken)
      4. Mai 2011

      Allein schon das «feint» im Namen … 🙄

      Allerdings lässt sich das Problem durch Meiden von OpenFeint leider nicht zuverlässig umgehen; grundsätzlich muss man bei jeder App mit Datenschutzverletzungen rechnen, denn die Kontrollen durch Apple scheinen reichlich lasch zu sein. Apps scheinen vor allem auf automatisch und/oder einfach erkennende Macken hin geprüft zu werden.

      (Ja, bei anderen Smartphone-Systemen ist es vermutlich nicht anders oder noch schlimmer, aber ich bin der Meinung, man sollte sich nicht an schlechten Beispielen orientieren.)

    • Renato
      4. Mai 2011

      Ja, jede App kann grundsätzlich in der Lage sein Benutzerdaten aus dem Gerät abzuziehen, insbesondere Location-Daten, sofern man der App die entsprechenden Berechtigungen gegeben hat. Daher ist es wichtig, dass man sich als Benutzer die Datenschutzbestimmungen der eingesetzten Apps genau anschaut welche Daten die App beziehen will und wie diese Informationen verwendet werden. Das war je bereits Thema im Kassensturz vom März 2011: http://apfelblog.ch/

Leave a Reply