Datenschutz auf dem iPhone: Auch foursquare verschickt ungefragt das gesamte Adressbuch

Das Ausspähen von E-Mail-Adressen und Telefonnummern ist auf dem iPhone scheinbar Mode. Nach Facebook und Path kommt nun raus, dass auch foursquare ungefragt das gesamte Adressbuch an seine Server schickt.

Nach einem Hinweis von Paul Haddad hat Henning Tillmann mal recherchiert und den Nachweis veröffentlicht:

Nach der Anmeldung werden weitere Daten an den Server geschickt, ohne, dass der Nutzer gefragt wird oder ein Hinweis erscheint. Die Daten enthalten die Telefonnummern und E-Mail-Adressen (URL-kodiert).

Dustin Curtis beschreibt, dass dieses skandalöse Vorgehen gängige Praxis bei iPhone App-Entwicklern ist:

I did a quick survey of 15 developers of popular iOS apps, and 13 of them told me they have a contacts database with millons of records. One company’s database has Mark Zuckerberg’s cell phone number, Larry Ellison’s home phone number and Bill Gates‘ cell phone number. This data is not meant to be public, and people have an expectation of privacy with respect to their contacts.

Jennifer Van Grove führt weitere Beispiele an:

Facebook, Twitter, Instagram, Foursquare, Foodspotting, Yelp, and Gowalla are among a smattering of iOS applications that have been sending the actual names, email addresses and/or phone numbers from your device’s internal address book to their servers, VentureBeat has learned.

Einige der dafür kritisierten Betreiber winden sich nun rum und wollen wohl die Benutzerin vorher um Erlaubnis fragen. Das ist ja wohl das Mindeste.

Das Problem sitzt aber tiefer. Die hier übermittelten Daten betreffen ja nicht nur den Anwender der App, sondern alle Menschen in seinem Adressbuch. Diese Daten zu übermitteln, ohne die Einwilligung vom Eigentümer der jeweiligen Telefonnummer oder E-Mail-Adresse zu haben, verstößt nicht nur gegen deutsches Datenschutzrecht, sondern ist einfach völlig daneben. Und mal ehrlich: Hand hoch, wer wirklich alle Leute in seinem Adressbuch einzeln gefragt hat!

Jeder Mensch hat das Recht, sich im Internet nackig zu machen. Aber alle anderen haben auch das Recht, das nicht machen zu müssen. Wenn du dein Addressbuch mit Internet-Diensten synchronisierst, dann will ich da nicht drin stehen.

Update: Twitter hat zugegeben, auch das Adressbuch zu saugen, sobald man in der mobilen Twitter-App nach Freunden sucht. Die Daten werden für 18 Monate gespeichert, löschen kann man die auf dem „Remove“-Link unter Freunde suchen.

45 Ergänzungen

    1. Zumindest kann man bei der Installation sehen, ob eine Applikation Zugriff auf das Adressbuch haben möchte oder nicht. Was dann genau passiert, so man diesen Zugriff erlaubt, erfährt man dort natürlich auch nicht.

  1. Grausame Tat. Da regt sich mal einer wieder über seinen Anbieter auf. Wie wäre es denn, wenn er sich an diesen wendet, es soll da sogar eine Reklamationshotline geben.

    Aber nein. Der User nutzt den Dienst nicht, bleibt Kunde und motzt hier herum. Hier kann er sich so richtig auskotzen.

    —„Und mal ehrlich: Hand hoch, wer wirklich alle Leute in seinem Adressbuch einzeln gefragt hat!“

    ICH!

  2. Wie mir gerade mitgeteilt wurde, jammert „Meister“ hier ständig über seine Provider. Warum eigentlich? Kann er sich nicht endlich mal an die Hotline wenden? Warum nutzt er so einen Schrott überhaupt? Wird irgendjemand gezwungen, sich diese Teile zu besorgen???? Das nervt. Ich dachte, hier geht es um Netzpolitik und nicht um die Reklamationen eines unzufriedenen Käufers/Nutzers/Heulsuse..

      1. @Markus
        Aber warum um Gottes Willen weint er dann? Wenn mich mein Provider mit dessen Produkt abzockt, betrügt, kriminelle Dinge ohne mein Wissen macht, dann nutze ich das Produkt nicht, erstatte Strafanzeige und erwirke eine Unterlassungsklage.

        Mehr gibt es nicht zu sagen.

        Wer dennoch immer diese Produkte nutzt, der hat es, sorry, nicht besser verdient. Dann soll aber auch das Gemotze aufhören. Denn die Problematik ist bekannt!

        Jeder Schnulli weiß bescheid. Dann lasst sie doch endlich mal in ihr Unglück rennen, verdammt nochmal! Das gilt auch für unsere Google-Freunde und Konsorten. Dann sollen sie es nutzen, aber nicht heulen, sondern diese miesen Machenschaften in Kauf nehmen!

      2. @astafix

        Offensichtlich fällt es dir schwer den eigentlichen Sinn zu erfassen.
        Ich werde also gaaaanz laaangsaaam schreiben, damit du nicht schnell denken musst.
        Es geht nicht um die tauben Nüsse, die jeden neuen Mist haben müssen. Die haben es sich ja tatsächlich selber ausgesucht. Es geht wohl viel mehr um die Menschen, die solche Denkverweigerer als Bekannte haben und über diesen Umweg ebenfalls in den Datenbanken dieser unsäglichen Arschlöcher landen!

        Was nützt es einem heute, mit Absicht auf diese schöne neue Welt zu verzichten, wenn man dann auf diesem Umweg eben doch am Fliegenfänger hängt?

        Jetzt verstanden…?

    1. Die zunehmende Verbreitung verkrüppelter Endgeräte und geschlossener Communitys *ist* ein netzpolitisches Thema. Was nützt dir ein freies, neutrales Internet, wenn nur noch Endgeräte existieren, die Inhalte zensieren, spionieren und nur Programme ausführen, die ihrem Hersteller genehm sind?

  3. bei henning tillmann in den kommentaren findet sich folgender link

    http://support.foursquare.com/entries/20650271-why-do-you-search-my-phone-s-contacts

    dessen lektüre mich schmunzeln macht. die schreiben doch tatsächlich

    all the information is encrypted when it moves between your phone and our servers, meaning it’s even more secure.

    da fragt man sich doch: even more secure than what exactly? how can it be more secure than not making the phone send the information to begin with?

    honi soit qui mal y pense.

    .~.

  4. Ist es nicht ziemlich müßig über den Datenschutz zu diskutieren, bei einem Gerät über das der Nutzer keine volle Kontrolle hat?

  5. Vermutlich verhält sich das bei Android nicht anders, mit einem feinen Unterschied: Benutzer bekommen bereits vor der Installation angezeigt, dass eine App auf das Adressbuch zugreifen möchte. Insofern geschieht das also nicht vollkommen ungefragt.
    Ich verstehe nicht, warum die Dienste nicht einfach Hashes benutzen, das muss doch genau so reichen.

    1. Bringt fast nichts: Eine Liste mit allen Hashes von Telefonnummern oder E-Mail-Adis ist relativ kurz, d.h. man kommt vom Hash zurück auf die Telefonnummer/E-Mail!

    2. Bei Android gibt es allerdings den Trend, dass die Apps pauschal einfach alle möglichen Rechte anfordern. Die Liste, die bei der Installation angezeigt wird, ist fast immer ewig lang und hinterlässt meist ein großes Fragezeichen: „Wieso braucht er *das* jetzt um zu funktionieren?“ Du kannst dich dann entscheiden, friss oder stirb.

      Am Ende also auch nicht viel besser.

  6. Frei nach der Werbung:

    Wenn man kein iPhone hat, hat man diese Probleme nicht!

    Ein weiterer Grund für mich KEIn iPhone zu besitzen!

    1. Das Problem ist ja gerade, dass du gar kein iPhone haben musst. Es reicht, wenn du im Adressbuch einer Person stehst, die eins hat.

      1. Wenn diese Personen dann auch noch aus ihrem, äh, harmonisierten Facebook-Adreßbuch heraus Einladungen schicken in der Hoffnung, trotz erklärten Unwillens Widerstand zu brechen und endlich das Gesichtstagging dieses einen Fotos, das „man“ mal so ungefragt hochgeladen hat, abzuschließen – weißer Fleck auf der Landkarte!!1 -, ist es höchste Zeit, zumindest unilateral das eigene Adreßbruch um den ein oder anderen Eintrag zu, äh, dezimieren.

    2. glaube bitte nicht, das würde für Android- und Windows- und sonstige Phones nicht auch zutreffen…

  7. also ich find das schon ganz schön bitter.
    ich entwickle auch für iOS. aber nur games und mich interessieren von meinen usern nur die highscores… Apps, die ungefragt die adressbücher abgreifen, sollten von Apple als Malware eingestuft und aus dem Store verbannt werden. Und wär das nicht so’n ernstes Thema, würd ich mich jetzt über meinen letzten Satz vor Lachen auf die Schenkel klopfen.

    1. „Apps, die ungefragt die adressbücher abgreifen, sollten von Apple als Malware eingestuft und aus dem Store verbannt werden.“

      Das sollte selbstverständlich sein. Krass, dass das Apple anscheinend nicht so sieht und damit durchkommt.

  8. Auch wenn’s hier schon mehrere gesagt haben, aber ich sehe das auch so, das Problem ist das Gerät und nicht der Anbieter. Wenn ich als Anbieter einer App ungefragt Daten aus dem iphone lesen kann, dann kann doch niemand dem Anbieter die Schuld dafür geben.

    Bei so einem sensiblen Gerät wie einem Telefon, müssen solche Dinge vom Nutzer konfiguriert werden können. Wenn nicht, gehört das Gerät verboten oder sollte nicht für diesen Zweck nicht verkauft werden dürfen, da es einen Mangel hat.

    Wenn ihr euch ein Portmonaie kauft, das ein Loch hat, geht ihr ja auch nicht zur Bank und wollt euer verlorenes Geld zurück.

    1. Nur weil es möglich ist das komplette Adressbuch auszulesen, bist du nicht dazu verpflichtet es auch zu tun.

      Insofern trifft den Anbieter eine mindestens ebenso große Schuld.

      Und, …wenn jemand ein Loch in der Brieftasche hat und Geld verliert, zwingt dich ebenfalls niemand dazu, das Geld einzusammeln um es zu behalten!

      1. Wo steht etwas von verpflichten? Es geht einfach!

        Und das Unangenehme ist, dass man das nicht abschalten kann. D.h. es ist vom Hersteller gewollt, dass eine App das Adressbuch ohne Genehmigung des Besitzers auslesen kann.

        Das ist genau so, wie wenn du JS nicht deaktivierst und diese Seite besuchst. Je nachdem mit welchem Browser, ist es dann möglich deinen Standort, deine besuchten Internetseiten und eine Reihe technischer Details auszulesen und auf dem Server zu speichern. Und offensichtlich ist für Apple das Adressbuch einfach nur ein technisches Detail.

  9. Das iPhone ist das Facebook der Handys. Es tagged Dich schon, obwohl Du nur jemanden kennst der den Kram nutzt.

  10. Niveau der Diskussion hier – wie üblich – unterirdisch.
    Für alle, die dieses „soziale“ im Netz nicht wollen…..nutzt halt nicht diese Dienste. Bleibt schön nerdy und unrelevant.
    Für alle, die kommerzielle Angebote doof finden (weil die immer diese böse Datending machen) – baut zivilgesellschaftliche Alternativen zu foursquare, facebook etc. pp.

    1. Niveau des Kommentars – wie üblich – unterirdisch.
      Für alle, die die informationelle Selbstbestimmung im Netz nicht wollen… nutzt halt keine E-Mails. Werdet total hip und nutzt die „private“ messages in euren sozialen gated communities.

  11. Und wenns jetzt schon passiert ist, das Facebook u.a. durch die Smartphones von Dutzenden Bekannten die Kontaktdaten abgegriffen hat, was zum Teufel kann man jetzt dagegen tun? Vermutlich gar nichts, oder?

  12. Die iPhone-App „meetOneToGo“ (ja, genau, das meetOne, in dem Pro7 seine Finger mit drin hat) liest ebenfalls ohne Nutzerabfrage das komplette Adressbuch des Nutzers aus, schickt alle E-Mail-Adressen dann unverschlüsselt über HTTP an die meetOne-Server. Dort verschickt dann meetOne ein paar Tage später Spam an alle so gestohlenen Adressen.

    Apple interessiert das alles übrigens nicht – bei Beschwerden wird man darauf verwiesen, sich an den Anbieter der App zu wenden, und wenn man bei den Rezensionen im iTunes Store auf den Datendiebstahl hinweist, kann es passieren, dass Apple die Rezension einfach löscht/nicht veröffentlicht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.