Shazam: Mac-Version schneidet Mikrofon im Hintergrund mit
Die Mac-Version der Musikerkennungssoftware Shazam zeichnet weiterhin alle Geräusche, die vom Mikrofon erfasst werden, auf, selbst wenn die App beendet wurde. Die App höre lediglich damit auf, diese Daten auch auszuwerten. Das hat ein Sicherheitsforscher herausgefunden.
Shazam selbst bestätigt das Verhalten, gibt jedoch an, dass dies aus rein technischen Gründen erfolge und keine Daten verarbeitet werden würden.
Ein Nutzer gab den entscheidenden Hinweis
Patrick Wardle, ein ehemaliger Mitarbeiter der NSA, bestätigte das Verhalten der Mac-Version von Shazam, nachdem er von einem Nutzer darauf aufmerksam gemacht wurde. Der Nutzer ließ auf seinem Mac das Monitoring-Programm OverSight für die Webcam und das Mikrofon laufen, um unbefugte Zugriffe feststellen zu können. Im fiel daraufhin auf, dass Shazam nach dem Beenden keinen Befehl zum Ausschalten des Mikrofons absetzt.
Patrick Wardle forschte daraufhin selbst nach und stellte fest, dass Shazam nach dem Beenden zwar damit aufhört, die aufgezeichneten Daten zu verarbeiten, jedoch weiterhin im Hintergrund zuhört. Er konnte jedoch auch nach einem reverse engeneering der App keine Hinweise darauf finden, dass diese Daten analysiert oder gespeichert werden, wie er in einem Blog-Eintrag ausführlich darstellt.
Der Grund: Zufriedenere Nutzer
Shazam sieht in diesem Verhalten keine Verletzung der Privatsphäre, sondern begründet es mit technischen Gründen, die die Nutzererfahrung verbessern sollen. Würde man das Mikrofon nicht eingeschaltet lassen, würde die Initialisierung der App und das Starten der Audio-Aufzeichnung länger dauern, was zu unzufriedeneren Nutzern führen könnte, da Lieder, die erkannt werden sollen, unter Umständen bereits zuende seien. Es handele sich bei diesem Verhalten insofern auch nicht um einen Fehler der App.
James A. Pearson, Vice President Global Communications von Shazam, erklärt, dass man die Privatsphäre der Nutzer sehr ernst nehme und keine Daten gespeichert oder gesendet werden, wenn die App nicht gestartet sei. Auch dann würden zudem nur digitale Fingerabdrücke der Aufnahme an Shazam gesendet, nicht die Aufnahme selbst. Dennoch versprach Shazam gegenüber Wardle, das Verhalten mit einem Update zu ändern.
Malware könnte sich Shazam zu Nutze machen
Selbst wenn Shazam die Daten selbst nicht speichere oder auswerte, besteht jedoch das Risiko, dass Malware das Verhalten ausnutzt, um die von Shazam aufgenommenen Daten zu kopieren und ihrerseits zu analysieren. Da die Malware hierfür selbst keine Aufnahme starten müsste, würde sie von entsprechenden Monitoring-Anwendungen auch nicht erkannt werden.