Das gebrochene Datenschutz-Versprechen bei Path.com

Path.com ist ein Soziales Netzwerk, das nur mobil auf iOS und Android-Smartphones funktioniert. Die Idee ist relativ einfach: Man hat nur höchstens 150 Freunde, mit denen man Fotos, Videos, Musik und Statusmeldungen tauschen kann. Vor allem zu Facebook mit seinen komplexen und unverständlichen Datenschutzeinstellungen wollte man sich abgrenzen: Path sei einfach, komfortabel und datenschutzfreundlich. Die Einfachheit von Path war wohl ausschlaggebend, warum der Dienst bisher, nach eigenen Angaben, mehr als eine Million Nutzer sammeln konnte.

Dumm, dass jetzt jemand rausfand, dass bei einer Anmeldung bei Path.com erstmal das iPhone im Hintergrund das komplette Adressbuch nach Hause telefoniert. Was man als Friendfinder vielleicht von Facebook kennt (Abgleich des Adressbuches mit einer Onlinedatenbank) ist wohl bei iOS problemlos durch wenige Zeilen Code möglich. Aus Nutzersicht ist es inakzeptabel, dass Apple sowas überhaupt ohne Rückmeldung und Opt-In zulässt. Und natürlich ist es eine Frechheit, dass Path dies einfach so macht ohne nachzufragen und um Erlaubnis zu bitten. Path versucht jetzt zu retten, was zu retten ist und verweist darauf, dass das ausspionieren so nicht geplant war und man auch eher ein Feature anbieten wollte.

Was bleibt: Ein Dienst, der heimlich im Hintergrund meine Daten ausspioniert, lasse ich nicht mehr auf mein Smartphone. Abmelden geht über ein Webformular, wenn man auf path.com eingeloggt ist.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

25 Ergänzungen

  1. Zitat letzter Satz, vorletzter Abschnitt:
    „dass das ausspionieren so geplant war“ -> da fehlt ein „nicht“, oder?

    Auch hier lese ich wieder „nur“ iPhone. Heisst dies, Android ist nicht „betroffen“?

    1. Unter Android muss der Nutzer bei der Installation einer App die eingeforderten Rechte abnicken — dazu gehört auch der Zugriff auf das Adressbuch. Ein heimlicher Zugriff ist also nicht möglich.

      Das nützt nur nicht so viel, weil Menschen offenbar nicht begreifen, was die Kombination „Adressbuch lesen und schreiben“ und „Internetverbindung aufbauen“ bedeutet oder vielmehr: bedeuten kann. Nämlich, dass das gesamte Adressbuch irgendwo hingefunkt wird.

  2. Naja, im android market kann man immerhin die Berechtigung zum Zugriff auf die Adressdaten schon vorab sehen. Zusammen mit der Warnung, dass Schadcode diese dann auch weiter senden könne.
    Die gleiche Warnung steht auch bei whatsapp und kik.

    path.com benutzt zum Senden der Daten immerhin https, der Konkurrent hipster.com macht das ganze gleich unverschlüsselt.

    Schmeiss doch mal die Quellen dazu, wie sie bei hn stehen:
    http://mclov.in/2012/02/08/path-uploads-your-entire-address-book-to-their-servers.html
    http://markchang.tumblr.com/post/17244167951/hipster-uploads-part-of-your-iphone-address-book-to-its

  3. Wie es sich gehört, wäre evtl. die original Quelle auch noch angebracht im Artikel: http://mclov.in/2012/02/08/path-uploads-your-entire-address-book-to-their-servers.html

    Man sollte auch noch hinzufügen, dass Path keine Ausnahme ist. Viele Apps nutzen diese Funktion um anhand des Adressbuches die „Freunde“ eines Nutzers auch ohne Twitter/Facebook Connect etc. zu finden.

    Einige Apps die dieses Verfahren nutzen – „Zeig mir dein Adressbuch, ich zeig dir wer noch von deinen Kontakten bei uns angemeldet ist“ – verschlüsseln (hashen) die Telefonnummern vor dem übersenden, so das keine „echten“ Daten in der Datenbank des App Anbieters landen, sondern nur gehashte nummern die dann anhand des Hashes vergleichbar sind und nicht mehr im Klartext gelesen werden können.

  4. Bitter daran ist, dass (wie in den Kommentaren der Quelle genannt) das Hochladen von Hashes der Mailadressen für den „Friendfinder“ schon genügt hätte.

  5. Markus Beckedahl nutzt ein iPhone und beschwert sich. Wo ist der Fail?

    1) Bei der Firma die die iPhone API nutzt
    2) Bei Apple, einer Firma die Apps nach solchen Aufrufen scannt, die aber keine selbst kompilierte GPL Software zulässt.
    3) Bei Markus Beckedahl?

    Ich bin für 3. Sorry. Und dabei mag ich Markus und seine Kommentare.

    Danke an den Mann, der das Problem über ein Proxy Setup gefunden hat, der hier aber nicht erwähnt wird.

    http://mclov.in/2012/02/08/path-uploads-your-entire-address-book-to-their-servers.html

  6. Ich habe denen geschrieben (service@path.com) und sie gebeten, meine Daten zu löschen. Noch am selben Tag habe ich eine Antwort mit Entschuldigung, Erklärung und Bestätigung der Löschung erhalten.

    Natürlich ist da immer noch die Frage, ob man den Behauptungen glaubt. Das wird sich daran zeigen, ob das nächste Update tatsächlich die in der eMail versprochene Nachfrage stellt, ob Path auf das Adressbuch zugreifen kann. Aber die schnelle Reaktion auf meine Mail lässt mich hoffen und so bleibe ich erst einmal bei Path.

  7. Die besagte Firma soll die Daten jetzt gelöscht haben, man habe nur einen Service bieten wollen, sagen sie. Das ist so, als wenn die Sicherheitsdienste in mein Haus einbrechen, weil sie mir den Service der Sicherheit ungefragt leisten möchten und sich daher an meinem Schreibtisch lümmeln, oder der Gebäudereiniger ungefragt in meiner Abwesenheit die Wohnung reinigt und die Bullen kontrollieren meine Türschlösser und Alarmanlagen, weil ich anscheinend nicht zuhause war. Service hat viele Gesichter.

    Da behaupte noch mal einer, Deutschland sei eine Servicewüste. Anscheinend steht jeder Schlange, um uns zu servieren, was wir nicht bestellt haben.

  8. Ps. Hat die jetzt irgendjemand verklagt? Wo sind denn da die Abmahnanwälte?? Endlich mal ein gutes Geschäft oder eher Schiss in der Hose? Lieber an die kleinen Leute rangehen, die sich keinen Anwalt leisten können? Juristen sind auch keine ehrenwerte Berufsgruppe mehr. Mit großen Firmen legt man sich nicht an, denn man könnte verlieren, es könnte kosten, es würde Jahre dauern. Dann lieber anderswo abzocken, das schnelle Geld ist reizvoller. Besser als der Taxifahrer-Job. Für das zweite Staatsexamen hat der Hirnschmalz ebenfalls nicht gereicht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.