News Ohne Nutzerwissen: Bekannte iOS-Apps zeichnen heimlich Bildschirminhalt auf

[Grestorn]

Ob die 3-stellige Nummer gespeichert wird oder nicht, kannst Du gar nicht wissen.

Und natürlich muss sie zumindest temporär so lange gespeichert werden, bis die Zahlung autorisiert ist.

Ob sie danach - aus Nachlässigkeit oder Absicht - irgendwo gespeichert bleibt, ist dem Anwender völlig unbekannt.

 

[Andy4]

Ich finde das ja schon lustig, wie das von manchen hier verharmlost wird. Aber im Endefekt hat Apple doch versagt. Und bei Google sind auch zig Apps, die sicherlich das gleiche tun. Ultimatum hin oder her. Gleich rausschmeißen und den Entwickler bannen. Sowas geht einfach gar nicht.

Gruß Andy

 

[Trimipramin]

Natürlich kann der Anbieter einer App alles lesen, was der Anwender in eben jener App so treibt.

Daran ist nichts natürlich. Können? Ja, vielleicht. Sollte können? Nein, natürlich nicht.

Was er natürlich können sollte/muss, ist eingebebene Daten zu sehen und entsprechend verarbeiten zu können. Aber der gesamte Bildschirminhalt ist für ihn sichtbar? Nein.., einfach nur nein.

 

[Metalyzed]

Ob die 3-stellige Nummer gespeichert wird oder nicht, kannst Du gar nicht wissen.

Und natürlich muss sie zumindest temporär so lange gespeichert werden, bis die Zahlung autorisiert ist.

Ob sie danach - aus Nachlässigkeit oder Absicht - irgendwo gespeichert bleibt, ist dem Anwender völlig unbekannt.

Wenn wir eh nichts wissen und dementsprechend auch nichts machen sollten, da wir es ja auch nicht kontrollieren können, dann -case closed-.

 

[Grestorn]

Daran ist nichts natürlich. Können? Ja, vielleicht. Sollte können? Nein, natürlich nicht.

Es ist davon auszugehen. Wenn ich einem Hersteller einer App nicht traue, dann tipp ich nichts in seine App ein. Ganz einfach.

Jedes andere Verhalten ist schizophren. Du weißt NIE was mit den Daten passiert, die Du in eine App eintippst!

Und es gibt keinen Unterschied zwischen den eingetippten Daten und "dem gesamten Bildschirminhalt". Das ist beides exakt das selbe!

Ergänzung (8. Februar 2019)

Wenn wir eh nichts wissen und dementsprechend auch nichts machen sollten, da wir es ja auch nicht kontrollieren können, dann -case closed-.

Richtig. Deswegen vermeiden die Checknummer einzugeben, wenn es sich vermeiden lässt. Lieber die Zahlung über andere, externe Dienstleister, wie PayPal autorisieren. Da muss ich nur EINER Firma trauen und nicht jeder einzelnen, bei der ich etwas kaufen will.

 

[DFFVB]

Hm das spricht schon sehr Apple...

 

[Fragger911]

Wenn ich dort meine Adressdaten eingebe, dann will ich doch auch, dass der Anbieter sie bekommt, sonst würde ich sie gar nicht eintragen!

Sind wir heute etwas blauäugig aufgestanden, oder was?
Schon mal an Kontodaten o.ä. gedacht?

 

[Grestorn]

Was ist bei denen denn anders? Denkst Du nicht, dass die an den Anbieter einer App übertragen werden, wenn Du sie dort eintippst?!

Ich verstehe gar nicht, was in Eurem Kopf vorgeht... Ehrlich.

 

[Ko3nich]

Es ist davon auszugehen. Wenn ich einem Hersteller einer App nicht traue, dann tipp ich nichts in seine App ein. Ganz einfach.

Demnach sollte ja jeder der nicht möchte dass all seine Eingaben frei verfügbar sind gar nicht in Internet.

Es ist schon ein Unterschied ob eine App ein Framework zum Ausspionieren benutzt oder nicht.
Hier ist auch mal wieder der Gesetzgeber gefragt. Denn die Anzeige der Berechtigungen die die App verlangt beinhaltet wahrscheinlich nicht, dass der Bildschirminhalt aufgezeichnet wird?! Und dann müssen in solchen Fällen halt mal empfindliche Entschädigungszahlungen her. Und nicht 3 cent pro User Strafe die auch noch an den Staat gehen.

Wenn der Laden dann nicht bezahlen kann muss halt der Vorstand für längere Zeit hinter Gitter. Dann wird sich dieses Geschäftsgebaren schon noch ändern.

 

[Grestorn]

@Ko3nich

Das Problem ist, dass es widersinnig ist, bei Screenshots einen Terz zu machen, und sich nicht darüber im Klaren zu sein, dass die Daten die man eingibt, sowieso beim Anbieter landen.

Man regt sich damit über etwas auf, was sowieso selbstverständlich ist und verschleiert damit das Problem. Als ob die Daten bei den Apps, die keinen Screenshot machen, irgendwie sicherer oder besser aufgehoben wären - was einfach nicht der Fall ist.

Ob ich Daten als Text oder als Bitmap speichere, ist völlig unerheblich. Als Text ist es Datentechnisch nur etwas leichter zu verarbeiten.

 

[BetA]

ich lass das hier einfach mal so stehen.. (als info^^)

Zitat:

Datenschutz: Android vs. iOS

Mich erreicht sehr oft die Frage, welches System beim Schutz der Privatsphäre die Nase vorn hat. Diese Frage lässt sich nicht mit einem Satz beantworten, sondern ist relativ vielschichtig, da wir auch noch das Thema Sicherheit miteinbeziehen müssen. Aber der Reihe nach, ohne zu sehr in die Details zu gehen:

• Datenerhebung Hersteller: Sowohl Android als auch iOS sind Systeme, die eng mit den jeweiligen Herstellern verknüpft sind. Bei iOS ist die Verknüpfung allerdings deutlich höher als bei Android. Android bietet insgesamt mehr Freiheiten und lässt sich sogar komplett ohne Google betreiben. Welche Daten Google bzw. Apple im Detail erheben lässt sich nur sehr schwer ermitteln. Ich wage keine Aussage darüber zu treffen, ob nun Google oder Apple mehr Daten vom Nutzer erhebt und verarbeitet. Fakt ist: Sie tun es beide. Die jeweiligen Datenschutzerklärungen (Google, Apple) sind umfangreich. Um eine einigermaßen qualifizierte Aussage zu treffen, müssten beide Erklärungen miteinander verglichen werden.
• Datenschutz System: Apps sammeln Daten. Größtenteils geschieht dies im Hintergrund, ohne das Wissen oder die Zustimmung der Nutzer. Insbesondere an Drittanbieter, wie Analysedienste, fließen jede Menge Daten ab. Das Problem: Nur in den seltensten Fällen werden Nutzer über diese Datensammlung vom App-Anbieter informiert. Apps wie Blokada (Android) oder AdGuard Pro (iOS) bieten eine Möglichkeit dieser heimlichen Datensammlung einen Riegel vorzuschieben. Leider bietet die sowohl in Android als auch in iOS integrierte Rechteverwaltung lediglich einen relativ einfachen und oberflächlichen Schutz gegen den Abfluss von sensiblen Daten – beide bieten bspw. nicht die Möglichkeit, einer App den Internet-Zugriff komplett zu sperren. Die Schwächen des Android-Berechtigungsmodell werden im Beitrag »Das Android Berechtigungsmodell: Ein perfides Konstrukt« detailliert erläutert. In ähnlicher Form gilt das auch für iOS.

Bei der Frage, wie gut ein System die eigene Privatsphäre schützt, müssen wir allerdings auch die Sicherheit miteinbeziehen. Hier ergeben sich zwischen den beiden Systemen deutliche Unterschiede.

• Quelloffenheit: Android ist abgesehen von proprietären Treibern für Modem und Co. komplett quelloffen. Erst wenn die Hersteller bzw. Google ihre proprietären Bestandteile (Google Play usw.) ergänzen, wird das System »in Teilen« geschlossen. iOS hingegen ist fast vollständig proprietär (Ausnahme Darwin) und erlaubt dadurch nur einen begrenzten Einblick in den Quellcode. Mir persönlich mangelt es bei iOS damit an Transparenz. Ein wichtiger Faktor in der IT-Sicherheit.
• Sicherheitsupdates: Was die Bereitstellung von Sicherheitsupdates anbelangt hat Apple die Nase meilenweit vorne. Das liegt insbesondere daran, dass Apple die Geräte nur selbst vertreibt und insgesamt nur eine handvoll Geräte unterstützen muss. Insgesamt sind iOS-Nutzer »sicherer«, da sie ihre Systeme meist zuverlässig und auch über einen längeren Zeitraum (bis zu 5 Jahre) aktuell halten können. In der Android-Welt schaffen es viele Smartphone-Hersteller oftmals nicht, zeitnah Updates für ihre herstellerspezifischen Android-Versionen bereitzustellen oder unterstützen ältere ihrer Geräte einfach aus Kostengründen nicht mehr. Damit entsteht zwangsläufig ein »Vakuum« in der Android-Welt, das viele Geräte anfällig für kritische Sicherheitslücken macht. Dieses Geschäftsgebaren ist natürlich in Anbetracht der damit verbundenen Risiken für den Nutzer und seine Daten höchst bedenklich. Abhilfe aus diesem Dilemma bieten alternative Android-Systeme wie LineageOS.
• Proprietäre Hardwarechips: IT-Sicherheit lässt sich nur schwer messen bzw. beurteilen. Treten wir nochmal einen Schritt zurück, könnten wir auch sagen, dass sowohl Android als auch iOS nicht vertrauenswürdig sind. Schuld sind die proprietären Hardwarechips (bspw. Baseband). Wenn wir überprüfbare Vertrauenswürdigkeit als ein Kritierium für Sicherheit nehmen, würden beide Systeme hardwarebedingt ausscheiden.

Insgesamt ist das ein komplexes Thema, welches ich nur kurz angerissen habe. Persönlich vertraue ich weder Google noch Apple meine Daten an.
Vielleicht hat euch dieser kleine Überblick dennoch bei der Entscheidung geholfen, welches System ihr den Vorzug geben möchtet. Persönlich nutze ich ausschließlich Android-Geräte, die ich vollständig ohne Google bzw. Google-Dienste betreibe.

source:
https://www.kuketz-blog.de/datenschutz-android-vs-ios/

 

[Grestorn]

Ich denke uns geht es andersrum genau so.

So, wenn Du es jetzt noch schaffst, das mit Argumenten zu unterstützen...

 

[bluebox]

Zum Glück habe ich kein Apple mehr

hmm, mal überlegen. ich habe im heimischen wlan 1 android gerät (glotze) und 4 ios geräte. auf dem pihole sind ein vielfaches mehr geblockter verbindungsversuche zur adware servern, tracking servern, ..., von dem einen android gerät geloggt, als von den 4 ios geräten zusammen. wobei ich mit der android glotze nicht mal die integrierten apps nutze.
wo liegt da also das "glück"?

 

[Tuxgamer42]

Wie siehts bei Android aus?

Google-Android?

Da ist alles verloren. Reiner Wahnsinn, das zu nutzen - da ist selbst Apple noch besser.

Open Source-Android?

Sprich z.B. Lineage OS (optionall sogar mit MicroG) und F-droid. Das ist erträglich. Für Closes source Apps - wenn man dann doch z.B. irgendwelche Bonus-Karten Steam Authentificator etc will - gibts Shelter. Damit kann man den Mist in ein separates Work-Profil sperren. Kein Zugriff auf Daten, Kontakte etc. und mit einem Klick sind alle Apps eingefrohren.

Würde sogar sagen, Open Source Android ist zur Zeit ein sehr guter Kompromiss zwischen "auf nichts verzeichten", "Privatsphäre" und "Open Source". Andere Systeme wie Ubuntu Touch hast eben immer das Problem mit fehlenden Apps; so etwas wie Sailfish ist nicht komplett Open Source. Ne, aber Google-Android geht gar nicht.

Übrigens: Lustig auch, was man hier teilweise für völlig planlose Aussagen gepostet werden:

Und für die ganzen Marktschreier hier:
Bei Android ist es kein Deut besser, eher schlimmer da es kein Sandboxing gibt.

Komm, schau dir doch Android wenigstens mal an. Brauchst nicht einmal extra Hardware; da gibts auch x86 ports.

 

[Booby]

Komm, schau dir doch Android wenigstens mal an. Brauchst nicht einmal extra Hardware; da gibts auch x86 ports.

Deine blöde Arroganz ist echt die Höhe.
Hast du überhaupt schon mal eine Zeile Code für Android geschrieben?
Hast du das von mir Geschriebene überhaupt verstanden?
Soll ich das für einen offensichtlichen Leihen primitiver erklären?
Was an dem Geschilderten ist bei einer App für Android nicht möglich?
Was verstehst du am Sandboxing nicht?

 

[Palmdale]

Die Reaktion von Apple finde ich sehr gut!

 

[Sly123]

Wie siehts bei Android aus?
Zum Glück habe ich kein Apple mehr

Dieser Beitrag beinhaltet Sarkasmus.

Ich würde mal behaupten, dass wenn es eingesetzt wird es niemanden juckt.
So eine Instanz wie Apple gibt's dann nämlich nicht.
Man könnte aus den erteilten Berechtigungen jedoch Schlüsse ziehen.

 

[Helge01]

hmm, mal überlegen. ich habe im heimischen wlan 1 android gerät (glotze) und 4 ios geräte. auf dem pihole sind ein vielfaches mehr geblockter verbindungsversuche zur adware servern, tracking servern, ..., von dem einen android gerät geloggt, als von den 4 ios geräten zusammen. wobei ich mit der android glotze nicht mal die integrierten apps nutze.
wo liegt da also das "glück"?

Musste ich bei mir auch feststellen. Habe pfBlockerNg am laufen und das was bei den Android Geräten ab geht ist erschreckend. Um so günstiger das Gerät, um so mehr Daten werden übertragen. Auch die Apps, die es für IOS und Android gibt, unterscheiden sich erheblich bei der zu übertragenden Menge an Daten. Unter Android ist das ein vielfaches von dem, was bei IOS übertragen wird.

 

[aRkedos]

Musste ich bei mir auch feststellen.

Ein grund warum mein "smarttv" auch nicht am Internet hängt. Funktioniert ja auch so wunderbar.

Ich kann nur sagen zum Glück nutze ich keine einzige App aus dem Play Store (Google oder Apple nehmen sich nichts was Datenschutz angeht). Das ist echt extrem was hier gemacht wird. Und die meisten Leute haben auch einfach nicht genug Ahnung von sowas um es zu merken. Die meisten schauen sich sicher keine Netzwerklogs etc. an.

 

[iSight2TheBlind]

Was er natürlich können sollte/muss, ist eingebebene Daten zu sehen und entsprechend verarbeiten zu können. Aber der gesamte Bildschirminhalt ist für ihn sichtbar? Nein.., einfach nur nein.

Auch für dich: "Gesamter Bildschirminhalt" heißt bei iOS "Gesamter Bildschirminhalt der App die diese Funktion beherrscht, während sie im Vordergrund ist und niemals sonst und erst recht keine anderen Apps, da App A nur sehr eingeschränkt mit App B interagieren kann und Bildschirmaufzeichnung nicht dazu gehört!"

Der gesamte Bildschirminhalt sieht also bei Nutzung der App von Air Canada (ich habe die App nie genutzt, gehe mal von einer naheliegenden Funktionsweise aus) so aus:
Das Formular mit dem ausgewählten Flug samt Flugdaten, darunter dann das Anmeldefenster sich für die Buchung anzumelden.

Hier sind quasi 90% des Bildschirminhalts Formulare, Interfaceelemente und Daten die direkt von Air Canada generiert wurden und 10% sind das Anmeldefenster in das du deinen Loginnamen und dein Passwort eingibst.
Der Loginname wird sowieso an Air Canada übertragen, einzig das Passwort würde nur in gehashter Form mit dem Hash den Air Canada davon besitzt verglichen, während es bei der Bildschirmaufzeichnung evtl. im Klartext angezeigt wird
(entweder durch einen Keylogger als 'Bildschirmaufzeichnung' oder mehrere Screenshots die alle Buchstaben des Passworts hintereinander bevor sie in Sternchen umgewandelt werden aufzeichnen könnten)

Dass das Passwort auf diese Weise gespeichert wird, noch dazu evtl. auf den Servern von Glassbox, ist im Kontext der IT-Sicherheit sehr schlecht und dass überhaupt alle Eingaben des Nutzers evtl. auch dort gespeichert werden könnten ist aus Gründen des Datenschutzes unschön (aber dass Daten von Drittfirmen im Auftrag meines eigentlichen Vertragspartners verarbeitet werden ist auch nichts ungewöhnliches).

Aber wie gesagt - es geht nicht um Screenshots von anderen Apps sondern einzig und allein aus der App die Glassbox integriert hat.
Wenn sichergestellt wird, dass die Firma keine Eingaben des Nutzers bekommt (oder eben den Auftrag zur Datenverarbeitung durch Dritte) und Passwörter/Zahlungsdaten/ nicht erhoben werden ist das ganze - selbst mit Screenshots - nicht so kritisch wie es hier dargestellt wird.


Anderer Punkt: Glassbox bietet die selben Funktionen auch für Webseiten an.
Hat nun jemand mal eine eindeutige Information zur Verfügbarkeit von Glassbox für Android-Apps gefunden?
Auf ihrer Webseite habe ich nichts gefunden was darauf hinweist, dass ihr Dienst nur für iOS-Apps verfügbar ist, in den Berichten wird aber immer nur von Spionage in iOS-Apps geschrieben.
Es würde mich extrem verwundern, wenn das nicht für Android verfügbar ist (obwohl es dort auch andere Dienste gibt die das gleiche tun) und dass aktuell nur über iOS berichtet wird ist dann wohl wieder Business as usual, bei dem bei Apple alles zu einem -gate wird und bei anderen unter den Tisch fällt.