iphone-ticker.de — Alles zum iPhone. Seit 2007. 31 086 Artikel
   

Überschriften statt Verbraucherschutz: Über den Juni-Aufmacher der Stiftung Warentest – Entwickler äußern sich

30 Kommentare 30

Kurz nach unserem Video-Test des iPhone-gesteuerten Car Sharing-Angebotes Drive Now sind wir beim Blick auf unsere iPhone-Sicherung über eine merkwürdige Datei im Dokumenten-Ordner der 3MB großen iPhone-Applikation gestolpert. Die Applikation zur Auto-Buchung bei dem von BMW, Mini und Sixt betriebenen Joint-Venture legte Account-Namen und Passwort des Benutzers im Klartext auf dem iPhone ab.

Ein Design-Fehler. Die unverschlüsselt und gut lesbar gespeicherten Login-Daten hätten durch einen iPhone-Verlust, einen Diebstahl oder den Weiterverkauf des eigenen Gerätes – ohne dieses gewissenhaft zu Löschen – in den Händen Dritter landen können.

Noch am Tag des Fundes haben wir das Drive Now-Team angeschrieben und auf das Versäumnis der verantwortlichen Programmierer hingewiesen. Das erste Feedback erreichte uns keine zwei Stunden später. Drive Now entschuldigte sich für den Patzer, versprach die umgehende Einreichung eines fehlerbehebenden Updates im AppStore und bedankte sich für den Hinweis. Mittlerweile werden die Account-Daten nicht mehr in der Drive Now-Applikation abgespeichert. Der schnelle Griff zum Großstadt-Mietwagen ist sicherer, die Welt ein kleines bisschen besser geworden.

Eine Anekdote, die exemplarisch für das webweite Selbstverständnis in Sachen Systemsicherheit steht. Unabhängig ob es um Drive Now oder, wie etwa Anfang April, um Dropbox, Facebook und Co. geht. Wer beim Stochern in Desktop-Software und mobilen Applikationen Einfallstore findet, sicherheitstechnisch bedenkliche Schwachstellen offenlegt oder über im Klartext abgelegte Passwörter stolpert, tut sich und allen anderen Nutzern einen großen Gefallen damit, zuerst die verantwortlichen Entwickler zu informieren und die Fundstücke erst anschließend zu veröffentlichen. Im besten Fall kann der Fehler so umgehend behoben und die Ausnutzung der Schwachstelle durch Dritte ausgeschlossen werden.

Eine Vorgehensweise die in der Industrie schon lange zum Standard gehört und etwa von Microsoft oder Symantec in den hauseigenen „Vulnerability Disclosure Policies“ beschrieben wird – der durch Steuermitteln finanzierten Stiftung Warentest aber unbekannt zu sein scheint.

Ein großer Bogen, der uns zum Juni-Aufmacher „Ausgespäht„, der Stiftung Warentest bringt.

Unter der Überschrift „Datenschutz bei Apps“ haben sich die Berliner 63 Zusatzprogramme für iOS und Android genauer angeschaut und die Anwendungen auf die Übertragung persönlicher Informationen hin geprüft. 9 der 63 getesteten Zusatzprogramme, so die Stiftung in ihrem Fazit, senden „persönliche Daten ihrer Nutzer ungesichert oder nicht anonymisiert“, drei wurden im Heft als „sehr kritisch“ drei als „kritisch“ eingestuft. ifun hat mit den Entwicklern der zwei als „sehr kritisch“ eingestuften Anwendungen „Clever Tanken“ und „iTranslate“ gesprochen.

Kleinere Entwickler können Ihre Angebote nach solchen Artikeln sofort zu machen“

Über den kostenlose Tankstellen-Preis-Check „Clever tanken“ heißt es im Testbericht der Stiftung Warentest „Die App sucht und findet preiswerte Tankstellen. Registrierte Nutzer können günstige Spritpreise melden und abfragen. Dabei sendet das Programm Benutzernamen und Passwort für die App unverschlüsselt“.

Übersetzt bedeutet dies: Liest man den kompletten Netzwerkverkehr eines „Clever tanken“-Nutzers in einem unverschlüsselten W-Lan-Netz mit, könnte die Kombination aus Passwort und Nutzername mitgeschnitten werden. Kein Weltuntergang, aber ein Versäumnis der Programmierer, das zurecht kritisiert werden darf. Sicher wird die Stiftung den Heroldsbergern vor der Veröffentlich des Test-Artikels bescheid gegeben haben. Wir fragen beim Geschäftsführer des Tankstellen-Checks Steffen Bock nach.

Ganz ehrlich, die Stiftung Warentest hat uns mit dem Testartikel komplett unvorbereitet getroffen. Eine Kontaktaufnahme im Vorfeld der Veröffentlichung ist leider nicht erfolgt – und dies ist umso ärgerlicher, da wir in unseren Angeboten für Android und Windows Phone die kritisierte Passwort Übertragung bereits überarbeitet haben und auch auf dem iPhone aktiv an einer neuen Implementierung arbeiten. Das Update können wir also umgehend einreichen.

Auch die Formulierung des Testartikels sorgt bei vielen unserer Nutzer für Verunsicherung. „Clever Tanken“ überträgt zum Beispiel keine persönlichen Daten an Werbenetzwerke. Beim Überfliegen des Tests geht dies aus der von der Stiftung veröffentlichten Tabelle aber nicht eindeutig hervor. Die Unterscheidung zwischen der kritisierten Passwort-Übertragung und den in anderen Apps gefundenen Statistik-Werkzeugen wird vielen Lesern nicht klar.

In unserem Fall dienen die Benutzer-Accounts zudem nur dazu, Konten der „Clever Tanken“-Nutzer schließen zu können, die sich einen Spass mit dem Dienst erlauben und 0€-Kraftstoff-Preise in unsere Datenbank eintragen. Das wir von der Stiftung Warentest als „sehr kritisch“ eingestuft werden, obwohl wir mit dem von uns angebotenem Verbraucher-Service doch eigentlich im gleichen Boot sitzen, ist uns komplett unverständlich. Kleinere Entwickler können Ihre Angebote nach solchen Artikeln sofort zumachen.

„Wer im Glashaus sitzt…“

Auch beim Sammeln von Benutzer-Statistiken hebt die Stiftung Warentest ihren kritischen Zeigefinger. So wird die Tabelle der sehr kritischen Apps von diesem Text-Block eingeleitet: „Diese Apps sind unsicher. Sie übertragen persönliche Daten nicht anonymisiert beziehungsweise unverschlüsselt. Das ist nicht nur unsicher, sondern auch unnötig. Die Angaben wie etwa zur Benutzungsstatistik sind fürs Funktionieren der App überflüssig.“

Ein Verweis, der uns als zahlende Benutzer des Test.de Online-Angebotes aufhören lässt. Setzt die Stiftung Warentest auf ihrer Homepage doch selbst den Tracking-Dienst Webtrekk ein. Ein Service der sich als „eines der umfangreichsten und flexibelsten Webanalysesysteme auf dem Markt“ bewirbt und zum Funktionieren der Test.de Webseite wohl auch überflüssig ist

„Wir werden uns auf jeden Fall weitere Schritte überlegen und das so nicht auf uns sitzen lassen.“

Zurück zu den betroffenen Entwicklern. Auch die kostenlose Übersetzungs-App „iTranslate“ rutschte ins Fadenkreuz der Tester. ifun sprach mit Alexander Marktl. Unsere Einstiegsfrage: Gab es eine Kontaktaufnahme vor der Veröffentlichung?

Nein. Es gab meines Wissens nach keinen einzigen Kontaktversuch von Stiftung Warentest, weder per Telefon, per Email, per Twitter oder sonst wie.

Uns als sehr kritische App einzustufen für das unverschlüsselte Übertragen von Suchanfragen, halten wir für extrem unfair und aus journalistischer Sicht auch bedenklich. Der Logik des Autors zufolge dürfte man weder Google, Wikipedia, Leo, Qype, einen Web Browser oder sonst irgendeinen Dienst verwenden bei dem man Informationen nachschlägt. Das Stiftung Warentest uns jetzt quasi als App bezeichnet die auf jeden Fall „nichts auf dem Smartphone verloren hat“ ist Geschäftsschädigung auf höchstem Niveau. Wir werden uns auf jeden Fall weitere Schritte überlegen und das so nicht auf uns sitzen lassen.

Wir möchten daher eines klarstellen: Wir übertragen keine der im Artikel genannten Daten, wie z.B. Namen, Email Adressen, Telefonbücher, Benutzernamen oder Passwörter. Eines stimmt: Übersetzungen werden bei iTranslate unverschlüsselt übertragen. Dasselbe gilt, wie oben genannt, aber auch für so ziemlich jede App bzw. Website in dem Bereich (z.B. Leo, Dict.cc, Google Translate). Uns einzeln an den Prange zu stellen ist sehr bedenklich.

Die Stiftung Warentest, dies haben uns bereits vergangene Artikel vor Augen geführt, scheitert noch immer an dem Versuch ihr in der analogen Welt geschätztes Gegengewicht zu den PR-Kampagnen von Staubsaugerherstellern und den Hochglanz-Anzeigen der Lebensmittelindustrie auch auf digitale Themen auszuweiten. Die Neuorientierung auf Apps, Smartphones und Co. dient 2012 leider nicht mehr dem Verbraucherschutz, sondern dem Einfahren von Seitenaufrufen und dem Verkauf wahllos zusammengestellter App-Tests.

Auch Alexander Marktl von iTranslate ist frustriert:

Was uns jedoch massiv stört ist, dass hier Panikmache auf Kosten von seriösen, kleinen Firmen gemacht wird, um eine gute Schlagzeile zu haben. Wenn man Wörter wie Apps, Facebook, iTranslate und Privacy in einem Atemzug nennt, dann erzeugt das anscheinend Pageviews…

Unsere Anfrage zur Vorgehensweise der Stiftung Warentest blieb leider unbeantwortet.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
28. Mai 2012 um 16:20 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    30 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    30 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 31086 Artikel in den vergangenen 5202 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2021 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven