Überschriften statt Verbraucherschutz: Über den Juni-Aufmacher der Stiftung Warentest – Entwickler äußern sich
Kurz nach unserem Video-Test des iPhone-gesteuerten Car Sharing-Angebotes Drive Now sind wir beim Blick auf unsere iPhone-Sicherung über eine merkwürdige Datei im Dokumenten-Ordner der 3MB großen iPhone-Applikation gestolpert. Die Applikation zur Auto-Buchung bei dem von BMW, Mini und Sixt betriebenen Joint-Venture legte Account-Namen und Passwort des Benutzers im Klartext auf dem iPhone ab.
Ein Design-Fehler. Die unverschlüsselt und gut lesbar gespeicherten Login-Daten hätten durch einen iPhone-Verlust, einen Diebstahl oder den Weiterverkauf des eigenen Gerätes – ohne dieses gewissenhaft zu Löschen – in den Händen Dritter landen können.
Noch am Tag des Fundes haben wir das Drive Now-Team angeschrieben und auf das Versäumnis der verantwortlichen Programmierer hingewiesen. Das erste Feedback erreichte uns keine zwei Stunden später. Drive Now entschuldigte sich für den Patzer, versprach die umgehende Einreichung eines fehlerbehebenden Updates im AppStore und bedankte sich für den Hinweis. Mittlerweile werden die Account-Daten nicht mehr in der Drive Now-Applikation abgespeichert. Der schnelle Griff zum Großstadt-Mietwagen ist sicherer, die Welt ein kleines bisschen besser geworden.
Eine Anekdote, die exemplarisch für das webweite Selbstverständnis in Sachen Systemsicherheit steht. Unabhängig ob es um Drive Now oder, wie etwa Anfang April, um Dropbox, Facebook und Co. geht. Wer beim Stochern in Desktop-Software und mobilen Applikationen Einfallstore findet, sicherheitstechnisch bedenkliche Schwachstellen offenlegt oder über im Klartext abgelegte Passwörter stolpert, tut sich und allen anderen Nutzern einen großen Gefallen damit, zuerst die verantwortlichen Entwickler zu informieren und die Fundstücke erst anschließend zu veröffentlichen. Im besten Fall kann der Fehler so umgehend behoben und die Ausnutzung der Schwachstelle durch Dritte ausgeschlossen werden.
Eine Vorgehensweise die in der Industrie schon lange zum Standard gehört und etwa von Microsoft oder Symantec in den hauseigenen „Vulnerability Disclosure Policies“ beschrieben wird – der durch Steuermitteln finanzierten Stiftung Warentest aber unbekannt zu sein scheint.
Ein großer Bogen, der uns zum Juni-Aufmacher „Ausgespäht„, der Stiftung Warentest bringt.
Unter der Überschrift „Datenschutz bei Apps“ haben sich die Berliner 63 Zusatzprogramme für iOS und Android genauer angeschaut und die Anwendungen auf die Übertragung persönlicher Informationen hin geprüft. 9 der 63 getesteten Zusatzprogramme, so die Stiftung in ihrem Fazit, senden „persönliche Daten ihrer Nutzer ungesichert oder nicht anonymisiert“, drei wurden im Heft als „sehr kritisch“ drei als „kritisch“ eingestuft. ifun hat mit den Entwicklern der zwei als „sehr kritisch“ eingestuften Anwendungen „Clever Tanken“ und „iTranslate“ gesprochen.
„Kleinere Entwickler können Ihre Angebote nach solchen Artikeln sofort zu machen“
Über den kostenlose Tankstellen-Preis-Check „Clever tanken“ heißt es im Testbericht der Stiftung Warentest „Die App sucht und findet preiswerte Tankstellen. Registrierte Nutzer können günstige Spritpreise melden und abfragen. Dabei sendet das Programm Benutzernamen und Passwort für die App unverschlüsselt“.
Übersetzt bedeutet dies: Liest man den kompletten Netzwerkverkehr eines „Clever tanken“-Nutzers in einem unverschlüsselten W-Lan-Netz mit, könnte die Kombination aus Passwort und Nutzername mitgeschnitten werden. Kein Weltuntergang, aber ein Versäumnis der Programmierer, das zurecht kritisiert werden darf. Sicher wird die Stiftung den Heroldsbergern vor der Veröffentlich des Test-Artikels bescheid gegeben haben. Wir fragen beim Geschäftsführer des Tankstellen-Checks Steffen Bock nach.
Ganz ehrlich, die Stiftung Warentest hat uns mit dem Testartikel komplett unvorbereitet getroffen. Eine Kontaktaufnahme im Vorfeld der Veröffentlichung ist leider nicht erfolgt – und dies ist umso ärgerlicher, da wir in unseren Angeboten für Android und Windows Phone die kritisierte Passwort Übertragung bereits überarbeitet haben und auch auf dem iPhone aktiv an einer neuen Implementierung arbeiten. Das Update können wir also umgehend einreichen.
Auch die Formulierung des Testartikels sorgt bei vielen unserer Nutzer für Verunsicherung. „Clever Tanken“ überträgt zum Beispiel keine persönlichen Daten an Werbenetzwerke. Beim Überfliegen des Tests geht dies aus der von der Stiftung veröffentlichten Tabelle aber nicht eindeutig hervor. Die Unterscheidung zwischen der kritisierten Passwort-Übertragung und den in anderen Apps gefundenen Statistik-Werkzeugen wird vielen Lesern nicht klar.
In unserem Fall dienen die Benutzer-Accounts zudem nur dazu, Konten der „Clever Tanken“-Nutzer schließen zu können, die sich einen Spass mit dem Dienst erlauben und 0€-Kraftstoff-Preise in unsere Datenbank eintragen. Das wir von der Stiftung Warentest als „sehr kritisch“ eingestuft werden, obwohl wir mit dem von uns angebotenem Verbraucher-Service doch eigentlich im gleichen Boot sitzen, ist uns komplett unverständlich. Kleinere Entwickler können Ihre Angebote nach solchen Artikeln sofort zumachen.
„Wer im Glashaus sitzt…“
Auch beim Sammeln von Benutzer-Statistiken hebt die Stiftung Warentest ihren kritischen Zeigefinger. So wird die Tabelle der sehr kritischen Apps von diesem Text-Block eingeleitet: „Diese Apps sind unsicher. Sie übertragen persönliche Daten nicht anonymisiert beziehungsweise unverschlüsselt. Das ist nicht nur unsicher, sondern auch unnötig. Die Angaben wie etwa zur Benutzungsstatistik sind fürs Funktionieren der App überflüssig.“
Ein Verweis, der uns als zahlende Benutzer des Test.de Online-Angebotes aufhören lässt. Setzt die Stiftung Warentest auf ihrer Homepage doch selbst den Tracking-Dienst Webtrekk ein. Ein Service der sich als „eines der umfangreichsten und flexibelsten Webanalysesysteme auf dem Markt“ bewirbt und zum Funktionieren der Test.de Webseite wohl auch überflüssig ist
„Wir werden uns auf jeden Fall weitere Schritte überlegen und das so nicht auf uns sitzen lassen.“
Zurück zu den betroffenen Entwicklern. Auch die kostenlose Übersetzungs-App „iTranslate“ rutschte ins Fadenkreuz der Tester. ifun sprach mit Alexander Marktl. Unsere Einstiegsfrage: Gab es eine Kontaktaufnahme vor der Veröffentlichung?
Nein. Es gab meines Wissens nach keinen einzigen Kontaktversuch von Stiftung Warentest, weder per Telefon, per Email, per Twitter oder sonst wie.
Uns als sehr kritische App einzustufen für das unverschlüsselte Übertragen von Suchanfragen, halten wir für extrem unfair und aus journalistischer Sicht auch bedenklich. Der Logik des Autors zufolge dürfte man weder Google, Wikipedia, Leo, Qype, einen Web Browser oder sonst irgendeinen Dienst verwenden bei dem man Informationen nachschlägt. Das Stiftung Warentest uns jetzt quasi als App bezeichnet die auf jeden Fall „nichts auf dem Smartphone verloren hat“ ist Geschäftsschädigung auf höchstem Niveau. Wir werden uns auf jeden Fall weitere Schritte überlegen und das so nicht auf uns sitzen lassen.
Wir möchten daher eines klarstellen: Wir übertragen keine der im Artikel genannten Daten, wie z.B. Namen, Email Adressen, Telefonbücher, Benutzernamen oder Passwörter. Eines stimmt: Übersetzungen werden bei iTranslate unverschlüsselt übertragen. Dasselbe gilt, wie oben genannt, aber auch für so ziemlich jede App bzw. Website in dem Bereich (z.B. Leo, Dict.cc, Google Translate). Uns einzeln an den Prange zu stellen ist sehr bedenklich.
Die Stiftung Warentest, dies haben uns bereits vergangene Artikel vor Augen geführt, scheitert noch immer an dem Versuch ihr in der analogen Welt geschätztes Gegengewicht zu den PR-Kampagnen von Staubsaugerherstellern und den Hochglanz-Anzeigen der Lebensmittelindustrie auch auf digitale Themen auszuweiten. Die Neuorientierung auf Apps, Smartphones und Co. dient 2012 leider nicht mehr dem Verbraucherschutz, sondern dem Einfahren von Seitenaufrufen und dem Verkauf wahllos zusammengestellter App-Tests.
Auch Alexander Marktl von iTranslate ist frustriert:
Was uns jedoch massiv stört ist, dass hier Panikmache auf Kosten von seriösen, kleinen Firmen gemacht wird, um eine gute Schlagzeile zu haben. Wenn man Wörter wie Apps, Facebook, iTranslate und Privacy in einem Atemzug nennt, dann erzeugt das anscheinend Pageviews…
Unsere Anfrage zur Vorgehensweise der Stiftung Warentest blieb leider unbeantwortet.
Die Stiftung spinnt doch! Blöde berichtverstattung! Zum glück gibst euch damit ihr hierueber aufklären könnt…, danke ifun!!!!‘
Ist das jetzt eine Werbung für Stiftung Wahrentest?
„ist doch egal ob es negativ ist, Hauptsache sie haben den Namen richtig geschrieben!“
Hmmh, soll ich jetzt zu SW gehen und nachsehen welche Apps kritisch sind ?
Wer hat schon nachgesehen ?
Hast du den Text überhaupt gelesen?
Wer ist denn diese Stiftung „Wahrentest“?
Die Stiftung „Wahrentest“ testet -wie der Name schon sagt- die Wahrheit!
Ich persönlich bin schon sehr gespannt auf das Ergebnis ;)
Ich habe das Gefühl hier sollten so einige erstmal bei Einer Suchmaschine ein paar Suchanfragen absetzen bevor unqualifizierte Beiträge gepostet werden. Fazit von mir: Die gleichen Intelligenzbestien müssen auch bei Stiftung Warentest arbeiten!
Hi,
Welche Bedeutung hat heutzutage noch diese Stiftung?? Es gibt nur wenige Tests die ich jeh Ernst genommen hatte, eben weil oft unwichtiges zur Abwertung fuehrt oder dinge nicht richtig dargestellt werden. Vor 10 oder 20 Jahren wurden mal irgendwelche HiFi Geraete getestet, gute Geraete wurden abgewertet weil im inneren scharfe Kanten waren, welches beim Service Probleme bereiten könnte. (sinngemäß),…
Die Stiftung hat schon einiges schlechter gemacht, weil viele Kriterien vom Anwender abhängen, und ob die wirklich unabhängig sind ist zumindest in den letzten Jahren immer zweifelhafter , nur meiner persoenlichen Meinung nach,…
Diese Stiftung ist einfach nicht mit der Zeit gegangen, irgendwann stehengeblieben.
Die Tests sind nicht zeitgemäß und lassen sich nicht auf alles übertragen. Da werden Äpfel mit Birnen verglichen. Grausig
Wer nicht mit der Zeit geht, muss mit der Zeit gehen!
Wenn ich die Pakete einiger Apps vom iPhone Abfange und sehe was da alles über den Port 80 unverschlüsselt raus geht… Zu teilen gebe ich der Stiftung Recht.
Stiftung Warentrash hat schon früher durch dämliche Tests das Volk verunsichert, warum sollten sie jetzt damit aufhören…? Wer die ernst nimmt, hält auch Jerry Lewis für nen US-Präsidenten…
hör auf?
Danke für diesen Artikel! Schön, dass ihr damit ein Zeichen setzt!
Grundsätzlich finde ich die SW gut und wichtig, aber gerade im IT-Bereich hat sie in letzter Zeit öfters deutlich daneben gegriffen. Ich hoffe, dass dieser Artikel ein positives Zeichen setzt.
Oft daneben gegriffen bei:
Waschmaschinen
HiFi-Test
Sat-Receiver
EDV Equipment
Finanzierungsprodukte (Grusel)
Aber ansonsten…der Sinn von SW ist klasse…die Umsetzung mehr als zweifelhaft.
Demnach müsste auch Windows, OSX, Linux und so ziemlich jede Software „schädlich“ sein!
Mal im ernst, wer jemals ein Programm geschrieben hat weiß wie schnell sich Patzer einschleichen können, daher ein hoch auf alle IT Menschen die Schwachstellen entdecken und sie den Entwicklern offenlegen.
Klar sollte es nicht passieren, aber umso mehr spricht es für eine Firma, die diese Hinweise ernst nimmt und schnellstens nachbessert!
Ebenso unfair fand ich den Bericht über die Sicherheitslücke in Java. Dort hieß es ja, dass Apple Nutzer wieder Wochenlang warten können und Java deaktivieren sollten. Nach einer Woche war die Lücke auch unter OSX gestopft.
Aber es scheint mir eher so, dass die Berichte negativ sein müssen, um „gesehen“ zu werden.
Danke für den Hinweis. Ich werd Clever Tanken auch weiterhin nutzen und empfehlen. Solange kein Adressbuch übertragen wird und die Macher zusagen, sich des Themas anzunehmen, ist Panikmache fehl am Platz.
Mal ehrlich, was soll den jemand so Böses mit meinen Accountdaten bei Clever Tanken jetzt machen? E10 melden statt meiner Diesel-Meldungen.
Stiftung Warentest hat in letzter Zeit häufiger fragwürdige Tests veröffentlicht. Bei mir erreichen sie mit sowas kein Interesse. Schlimmer noch, es wird dazu führen, dass ich sie nicht mehr ernst nehmen werde. Selbst wenn sie auf wirkliche Skandale stoßen.
Schade.
Jemand wird wohl kaum diese Daten für clever tanken missbrauchen, aber es ist davon auszugehen das du evtl. die selben Logindaten auf anderen Seiten verwendest und da wird es dann gefährlich.
Diesen Einwand hab ich erwartet. Aber sorry, wer die Benutzerdaten von wichtigen Accounts für banale 08/15-Dienste verwendet, der pinselt seine PIN auch auf die EC-Karte.
Dass Clever Tanken die Baustelle bei Bekanntwerden schließt, hab ich von ihnen nicht anders erwartet. Aber dass die Stiftung Warentest die – in der Tat vorhandene Sicherheitslücke in die Welt hinausposaunt, ohne die Entwickler zu informieren, zeigt doch a) dass sie das Problem für irrelevant halten oder b) überhaupt kein Interesse am Schutz der Leser haben. Ich tippe auf eine Kombi von beiden.
Wenn ich Logindaten in die Hände bekomme und Böses im Sinn habe, probiere ich diese Daten zuerst bei Amazon und eBay aus. Wehe sie funktionieren …
Aus DI-Sicht ist doch ganz klar: Logindaten im Klartext speichern ist kein Versäumnis, das ist pure Schlamperei.
Und wenn sie funktionieren?
An welche Adresse lässt Du die Ware schicken?
Die Diskussion und Berichterstattung geht doch am eigentlichen Problem vorbei.
Es ist doch völlig egal wer da gerade über welche App´s irgendwas herausgefunden hat.
Beim nächsten Mal ist es eben ein TV Magazin, eine Tageszeitung oder sonst was…
Solche Artikel/Veröffentlichungen machen mich immer stutzig.
Egal ob App, Programme, Browser oder sonst was, die Entwickler haben schlampig gearbeitet.
Dann sollen noch von den Nutzern höflich im Vorfeld über Ihre eigene Unfähigkeit informiert werden? Möglichst ohne hinzuziehen der Öffentlichkeit als Betatester herhalten?
Nein das kann nicht richtig sein. Kontaktdaten, Bewegungsprofile, Nutzerkennung und was weiß ich nicht alles wird „ohne mein Einverständnis gesammelt“ und lustig weitergegeben.
Alle die jetzt aufschreien: das steht doch in den (128 Seiten..) Allgemeinen Geschäftsbedingungen..
den möchte ich fragen – das liest sich wirklich noch jemand durch?
Wenn hier und da nicht solche oder ähnliche Berichte erscheinen, würde in unser aller Bewusstsein die Gutgläubigkeit an die moderne HighTech Welt ins unermessliche steigen.
Mittlerweile hat sich bei mir eine Einstellung dieser HighTech Welt zum generalverdacht gegenüber der Datensammelflut aller App´s eingestellt.
Ja, ich will explizit gefragt werden – was, wann, welche Daten wohin übertragen werden – fertig.
Dein letzter Satz ist sehr lustig.
Wenn Du fest genug die Backen beim Wünschen zusammenpresst, kommt bestimmt was gutes dabei heraus…
Vielleicht sogar Diamanten?
Danke an iFun, diese Berichterstattung auch mal von der anderen Seite zu beleuchten und der Stiftung Wartentest klarzumachen, wie man in solchen Fällen vorzugehen hat. Gerne mehr davon!
und so werden sie von der presselawine aus gerüchten und repetition plattgemacht …
http://www.sueddeutsche.de/dig......1367292-2
peinlich für die SZ!
Ich finde das ganze Trara total sinnlos. Allein die Warscheinlichkeit in den Programmeordner nach einer Datei mit Passwörtern zu suchen ist absolut abwägig. Da kann ein Dieb viel einfacher den browser aufmachen und dort die Passwörter auslesen, welche WebApp’s hinterlegen. Das ist einfacher und geht schneller. Bitte glaubt nicht das eure Passwörter sicher sind… in dem Moment wo ein fremder physischen Zugang zum Gerät hat, seid ihr ein offenes Buch!
Ja! Ungefähr so offen, wie Dein Kopf.
Wenn an meinem Gerät jemand Zugang hat (und es anschaltet, wenn ich nicht im Hause bin) freut er sich erstmal an dem schwarzen Bootscreen, der nur einen blinkenden Cursor zeigt.
Gewieften Schnüfflern fällt auf, das es sich hierbei um ein mit TrueCrypt verschlüsseltes Systemlaufwerk handeln könnte. Oder anderen lustigen Dingen…
sorry, das internet ist jetzt nicht erst n halbes jahr alt und datenschutz auch nicht erst seit gestern bekannt. wer jetzt noch unverschlüsselt userdaten überträgt hat auch nichts bei der softwareentwicklung zu suchen. stiftung warentest hat da schon recht. man muss die latte langsam mal höher legen und den entwicklerfirmen ne schippe selbstverantwortung beibringen.
Eine Bitte an die Redaktion: Könnt Ihr dem kursiv geschriebenen Texten nicht einen anderen Font verpassen. Er ist sehr schwierig zu lesen und die Buchstabenabstände stimmen oft nicht, so dass Worte nicht ordentlich erkennbar sind.