{"id":33829,"date":"2012-05-28T16:20:57","date_gmt":"2012-05-28T14:20:57","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=33829"},"modified":"2012-05-29T14:15:52","modified_gmt":"2012-05-29T12:15:52","slug":"uberschriften-statt-verbraucherschutz-uber-den-juni-aufmacher-der-stiftung-warentest-entwickler-ausern-sich","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/uberschriften-statt-verbraucherschutz-uber-den-juni-aufmacher-der-stiftung-warentest-entwickler-ausern-sich-33829\/","title":{"rendered":"\u00dcberschriften statt Verbraucherschutz: \u00dcber den Juni-Aufmacher der Stiftung Warentest – Entwickler \u00e4u\u00dfern sich"},"content":{"rendered":"

\"\"Kurz nach unserem Video-Test<\/a> des iPhone-gesteuerten Car Sharing-Angebotes Drive Now sind wir beim Blick auf unsere iPhone-Sicherung \u00fcber eine merkw\u00fcrdige Datei im Dokumenten-Ordner der 3MB gro\u00dfen iPhone-Applikation gestolpert. Die Applikation zur Auto-Buchung bei dem von BMW, Mini und Sixt betriebenen Joint-Venture legte Account-Namen und Passwort des Benutzers im Klartext auf dem iPhone ab. <\/p>\n

Ein Design-Fehler. Die unverschl\u00fcsselt und gut lesbar gespeicherten Login-Daten h\u00e4tten durch einen iPhone-Verlust, einen Diebstahl oder den Weiterverkauf des eigenen Ger\u00e4tes – ohne dieses gewissenhaft zu L\u00f6schen – in den H\u00e4nden Dritter landen k\u00f6nnen. <\/p>\n

Noch am Tag des Fundes haben wir das Drive Now-Team angeschrieben und auf das Vers\u00e4umnis der verantwortlichen Programmierer hingewiesen. Das erste Feedback erreichte uns keine zwei Stunden sp\u00e4ter. Drive Now entschuldigte sich f\u00fcr den Patzer, versprach die umgehende Einreichung eines fehlerbehebenden Updates im AppStore und bedankte sich f\u00fcr den Hinweis. Mittlerweile werden die Account-Daten nicht mehr in der Drive Now-Applikation abgespeichert. Der schnelle Griff zum Gro\u00dfstadt-Mietwagen ist sicherer, die Welt ein kleines bisschen besser geworden. <\/p>\n

Eine Anekdote, die exemplarisch f\u00fcr das webweite Selbstverst\u00e4ndnis in Sachen Systemsicherheit steht. Unabh\u00e4ngig ob es um Drive Now oder, wie etwa Anfang April<\/a>, um Dropbox, Facebook und Co. geht. Wer beim Stochern in Desktop-Software und mobilen Applikationen Einfallstore findet, sicherheitstechnisch bedenkliche Schwachstellen offenlegt oder \u00fcber im Klartext abgelegte Passw\u00f6rter stolpert, tut sich und allen anderen Nutzern einen gro\u00dfen Gefallen damit, zuerst die verantwortlichen Entwickler zu informieren und die Fundst\u00fccke erst anschlie\u00dfend zu ver\u00f6ffentlichen. Im besten Fall kann der Fehler so umgehend behoben und die Ausnutzung der Schwachstelle durch Dritte ausgeschlossen werden. <\/p>\n

Eine Vorgehensweise die in der Industrie schon lange zum Standard geh\u00f6rt und etwa von Microsoft<\/a> oder Symantec in den hauseigenen „Vulnerability Disclosure Policies“ beschrieben wird – der durch Steuermitteln finanzierten Stiftung Warentest aber unbekannt zu sein scheint. <\/p>\n

<\/p>\n

Ein gro\u00dfer Bogen, der uns zum Juni-Aufmacher „Ausgesp\u00e4ht<\/a>„, der Stiftung Warentest bringt. <\/p>\n

\"\"<\/p>\n

Unter der \u00dcberschrift „Datenschutz bei Apps“ haben sich die Berliner 63 Zusatzprogramme f\u00fcr iOS und Android genauer angeschaut und die Anwendungen auf die \u00dcbertragung pers\u00f6nlicher Informationen hin gepr\u00fcft. 9 der 63 getesteten Zusatzprogramme, so die Stiftung in ihrem Fazit, senden „pers\u00f6nliche Daten ihrer Nutzer ungesichert oder nicht anonymisiert“, drei wurden im Heft als „sehr kritisch“ drei als „kritisch“ eingestuft. ifun hat mit den Entwicklern der zwei als „sehr kritisch“ eingestuften Anwendungen „Clever Tanken<\/a>“ und „iTranslate<\/a>“ gesprochen. <\/p>\n

Kleinere Entwickler k\u00f6nnen Ihre Angebote nach solchen Artikeln sofort zu machen“<\/strong><\/h3>\n

\u00dcber den kostenlose Tankstellen-Preis-Check „Clever tanken“ hei\u00dft es im Testbericht der Stiftung Warentest „Die App sucht und findet preiswerte Tankstellen. Registrierte Nutzer k\u00f6nnen g\u00fcnstige Spritpreise melden und abfragen. Dabei sendet das Programm Benutzernamen und Passwort f\u00fcr die App unverschl\u00fcsselt“.<\/p>\n

\u00dcbersetzt bedeutet dies: Liest man den kompletten Netzwerkverkehr eines „Clever tanken“-Nutzers in einem unverschl\u00fcsselten W-Lan-Netz mit, k\u00f6nnte die Kombination aus Passwort und Nutzername mitgeschnitten werden. Kein Weltuntergang, aber ein Vers\u00e4umnis der Programmierer, das zurecht kritisiert werden darf. Sicher wird die Stiftung den Heroldsbergern vor der Ver\u00f6ffentlich des Test-Artikels bescheid gegeben haben. Wir fragen beim Gesch\u00e4ftsf\u00fchrer des Tankstellen-Checks Steffen Bock nach. <\/p>\n

Ganz ehrlich, die Stiftung Warentest hat uns mit dem Testartikel komplett unvorbereitet getroffen. Eine Kontaktaufnahme im Vorfeld der Ver\u00f6ffentlichung ist leider nicht erfolgt – und dies ist umso \u00e4rgerlicher, da wir in unseren Angeboten f\u00fcr Android und Windows Phone die kritisierte Passwort \u00dcbertragung bereits \u00fcberarbeitet haben und auch auf dem iPhone aktiv an einer neuen Implementierung arbeiten. Das Update k\u00f6nnen wir also umgehend einreichen.<\/p>\n

Auch die Formulierung des Testartikels sorgt bei vielen unserer Nutzer f\u00fcr Verunsicherung. „Clever Tanken“ \u00fcbertr\u00e4gt zum Beispiel keine pers\u00f6nlichen Daten an Werbenetzwerke. Beim \u00dcberfliegen des Tests geht dies aus der von der Stiftung ver\u00f6ffentlichten Tabelle aber nicht eindeutig hervor. Die Unterscheidung zwischen der kritisierten Passwort-\u00dcbertragung und den in anderen Apps gefundenen Statistik-Werkzeugen wird vielen Lesern nicht klar. <\/p>\n

In unserem Fall dienen die Benutzer-Accounts zudem nur dazu, Konten der „Clever Tanken“-Nutzer schlie\u00dfen zu k\u00f6nnen, die sich einen Spass mit dem Dienst erlauben und 0\u20ac-Kraftstoff-Preise in unsere Datenbank eintragen. Das wir von der Stiftung Warentest als „sehr kritisch“ eingestuft werden, obwohl wir mit dem von uns angebotenem Verbraucher-Service doch eigentlich im gleichen Boot sitzen, ist uns komplett unverst\u00e4ndlich. Kleinere Entwickler k\u00f6nnen Ihre Angebote nach solchen Artikeln sofort zumachen. <\/p><\/blockquote>\n

„Wer im Glashaus sitzt…“<\/strong><\/h3>\n

Auch beim Sammeln von Benutzer-Statistiken hebt die Stiftung Warentest ihren kritischen Zeigefinger. So wird die Tabelle der sehr kritischen Apps von diesem Text-Block eingeleitet: „Diese Apps sind unsicher. Sie \u00fcbertragen pers\u00f6nliche Daten nicht anonymisiert beziehungsweise unverschl\u00fcsselt. Das ist nicht nur unsicher, sondern auch unn\u00f6tig. Die Angaben wie etwa zur Benutzungsstatistik sind f\u00fcrs Funktionieren der App \u00fcberfl\u00fcssig.“<\/p>\n

Ein Verweis, der uns als zahlende Benutzer des Test.de Online-Angebotes aufh\u00f6ren l\u00e4sst. Setzt die Stiftung Warentest auf ihrer Homepage doch selbst den Tracking-Dienst Webtrekk<\/a> ein. Ein Service der sich als „eines der umfangreichsten und flexibelsten Webanalysesysteme auf dem Markt“ bewirbt und zum Funktionieren der Test.de Webseite wohl auch \u00fcberfl\u00fcssig ist <\/p>\n

„Wir werden uns auf jeden Fall weitere Schritte \u00fcberlegen und das so nicht auf uns sitzen lassen.“<\/strong><\/h3>\n

Zur\u00fcck zu den betroffenen Entwicklern. Auch die kostenlose \u00dcbersetzungs-App „iTranslate“ rutschte ins Fadenkreuz der Tester. ifun sprach mit Alexander Marktl. Unsere Einstiegsfrage: Gab es eine Kontaktaufnahme vor der Ver\u00f6ffentlichung?<\/p>\n

Nein. Es gab meines Wissens nach keinen einzigen Kontaktversuch von Stiftung Warentest, weder per Telefon, per Email, per Twitter oder sonst wie.<\/p>\n

Uns als sehr kritische App einzustufen f\u00fcr das unverschl\u00fcsselte \u00dcbertragen von Suchanfragen, halten wir f\u00fcr extrem unfair und aus journalistischer Sicht auch bedenklich. Der Logik des Autors zufolge d\u00fcrfte man weder Google, Wikipedia, Leo, Qype, einen Web Browser oder sonst irgendeinen Dienst verwenden bei dem man Informationen nachschl\u00e4gt. Das Stiftung Warentest uns jetzt quasi als App bezeichnet die auf jeden Fall „nichts auf dem Smartphone verloren hat“ ist Gesch\u00e4ftssch\u00e4digung auf h\u00f6chstem Niveau. Wir werden uns auf jeden Fall weitere Schritte \u00fcberlegen und das so nicht auf uns sitzen lassen. <\/p>\n

Wir m\u00f6chten daher eines klarstellen: Wir \u00fcbertragen keine der im Artikel genannten Daten, wie z.B. Namen, Email Adressen, Telefonb\u00fccher, Benutzernamen oder Passw\u00f6rter. Eines stimmt: \u00dcbersetzungen werden bei iTranslate unverschl\u00fcsselt \u00fcbertragen. Dasselbe gilt, wie oben genannt, aber auch f\u00fcr so ziemlich jede App bzw. Website in dem Bereich (z.B. Leo, Dict.cc, Google Translate). Uns einzeln an den Prange zu stellen ist sehr bedenklich.<\/p><\/blockquote>\n

Die Stiftung Warentest, dies haben uns bereits vergangene Artikel<\/a> vor Augen gef\u00fchrt, scheitert noch immer an dem Versuch ihr in der analogen Welt gesch\u00e4tztes Gegengewicht zu den PR-Kampagnen von Staubsaugerherstellern und den Hochglanz-Anzeigen der Lebensmittelindustrie auch auf digitale Themen auszuweiten. Die Neuorientierung auf Apps, Smartphones und Co. dient 2012 leider nicht mehr dem Verbraucherschutz, sondern dem Einfahren von Seitenaufrufen und dem Verkauf wahllos zusammengestellter App-Tests. <\/p>\n

Auch Alexander Marktl von iTranslate ist frustriert: <\/p>\n

Was uns jedoch massiv st\u00f6rt ist, dass hier Panikmache auf Kosten von seri\u00f6sen, kleinen Firmen gemacht wird, um eine gute Schlagzeile zu haben. Wenn man W\u00f6rter wie Apps, Facebook, iTranslate und Privacy in einem Atemzug nennt, dann erzeugt das anscheinend Pageviews…<\/p><\/blockquote>\n

Unsere Anfrage zur Vorgehensweise der Stiftung Warentest blieb leider unbeantwortet. <\/p>\n","protected":false},"excerpt":{"rendered":"\"\"<\/a>

\u00dcber den Juni-Aufmacher der Stiftung Warentest – Entwickler \u00e4u\u00dfern sich<\/p>\n","protected":false},"author":1,"featured_media":33830,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[745,1],"tags":[3914,672,3917,32,147],"class_list":["post-33829","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-featured","category-news","tag-apps","tag-datenschutz","tag-entwickler","tag-kritik","tag-recht"],"aioseo_notices":[],"featured_image":["http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2012\/05\/stiftung-warentest-ausgespaeht.png"],"rest_api_enabler":{"featured_image":"http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2012\/05\/stiftung-warentest-ausgespaeht.png"},"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/33829","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=33829"}],"version-history":[{"count":5,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/33829\/revisions"}],"predecessor-version":[{"id":33858,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/33829\/revisions\/33858"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media\/33830"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=33829"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=33829"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=33829"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}