Kostenlose Apps bergen häufiger Datenrisiko

7. November 2012

Wer sich kostenlose Apps herunterlädt, sollte dies nicht als wohltätige Zuwendung der Programmierer empfinden. Fast immer “bezahlt” der Nutzer mit Zugriffsrechten auf seine Daten. Nach einer Untersuchung des Netzdienstleisters Juniper Networks besteht bei kostenlosen Apps, die auf Basis der Android-Plattform operieren, ein erhöhtes Risiko für die Daten der Verbraucher. Diese greifen nach Erkenntnissen der Studie besonders häufig auf Standortdaten und Adressbücher der Nutzer zu, häufig ohne funktionelle Notwendigkeit und/oder vorherige Information des Verbrauchers. Juniper analysierte nach eigenen Angaben zwischen März 2011 und September 2012 circa 1,7 Millionen kostenlose und kostenpflichtige Apps unterschiedlicher Themenbereiche des Android-basierten Google Play Markets. Als besonders gefährliche Apps wurden dabei Renn- und Kartenspiele ausgemacht, die auffällig häufig nach SMS- und Anruf-Rechten griffen. Dabei war es jedoch unerheblich, ob diese kostenlos oder kostenpflichtig seien. Ganze 99% der kostenpflichtigen Rennspiele reklamierten unbegründet SMS-Rechts für sich. Dem gegenüber waren es noch ganze 92% bei den kostenlosen. Auch kostenlose Casino-Apps gerieten ins Visier der Untersuchung. 84% forderten unbegründet SMS-Rechte ein, 94% Anruf-Rechte und 84% Kamera-Rechte.

Juniper empfiehlt den Nutzern von Apps vor der Installation abzuwägen, ob die nicht abdingbare Zulassung der Zugriffsrechte durch die schlichte Installation der Apps tatsächlich hingenommen werden wolle oder ob es angesichts der undurchsichtigen Praktiken der Programme nicht von einer Installation Abstand genommen werden solle. Nutzer von iOS-Apps sollten sich angesichts der Ergebnisse der Studie jedoch nicht in Sicherheit wähnen. Eine Untersuchung der Apple-Apps war schlicht nicht möglich, da diese die untersuchten Informationen der Apps schon gar nicht zur Verfügung stellen.

Kategorien: Mobile Business
Schlagwörter: ,

DSK: 84. Datenschutzkonferenz am 7./8. November 2012

6. November 2012

Am 7. und 8. November wird die 84. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) in Frankfurt (Oder) stattfinden. Thematisiert werden sollen unter anderem die Neuregelung des Datenschutzes in der EU, der neue Internet-Standard IPv6, die elektronischen Übermittlung von Meldedaten an öffentlich-rechtliche Religionsgemeinschaften und an die GEZ sowie der Datenschutz bei der gemeinsamen Verwendung einer zentralen IT-Infrastruktur durch mehrere Stellen. In einer für den 8. November angesetzten Pressekonferenz sollen die Konferenzergebnisse öffentlich vorgestellt werden.

Telefónica: Verzicht auf Analyse und Vermarktung von Standortdaten in Deutschland

2. November 2012

Das spanische Telekommunikationsunternehmen Telefónica, das in Deutschland mit der Marke o2 vertreten ist, wird nach eigenen Angaben auf die Analyse und Vermarktung von Standortdaten ihrer deutschen Kunden mittels des Programms “Smart Step” verzichten. Man sei zwar überzeugt davon, dass das von Telefónica Dynamic Insights vorgestellte Produkt alle Datenschutzansprüche erfüllt. Bei allen Produkteinführungen gelte jedoch, dass Datenschutz und Kundenzufriedenheit oberste Priorität hat. Nach dem Feedback der Kunden habe man sich entschieden, Smart Steps in Deutschland nicht einzuführen.

 

Kategorien: Allgemein
Schlagwörter: , ,

Google: Sicherheitslücken in eigenen E-Mail-Signaturen

Die Webausgabe des amerikanischen Technologie-Magazins Wired berichtet über eine ebenso bemerkenswerte wie denkwürdige Sicherheitslücke in der E-Mail-Nutzung des US-Unternehmens Google, die unter kurios anmutenden Umständen entdeckt wurde.

Auslösendes Momentum war nach dem Bericht eine E-Mail, welche sich unerwartet im Post-Eingang des US-amerikanischen Mathematikers Zachary Harris befand und diesem völlig unerwartet eine Stelle beim Online-Big-Player Google offerierte. Dieser, ob des überraschenden Angebots skeptisch, soll die Authentizität des Absenders anhand der Informationen im Header der E-Mail geprüft, jedoch keine Fehler festgestellt haben. Dabei sei ihm jedoch aufgefallen, dass Google offenbar einen schwachen Signatur-Schlüssel für die tatsächlich aus ihrem Haus ausgehenden E-Mails verwendet. Das dazu von Google verwendete Verfahren DomainKeys Identified Mail (DKIM) sei dabei gängiger Standard und diene der Sicherstellung der Authentizität von E-Mail-Absendern. Entgegen der allgemein als Mindestmaß für eine sichere Verschlüsselung geltenden 1024-Bit-Schlüssel nutzt Google jedoch laut Harris nur einen 512-Bit-Schlüssel, der nicht hinreichend sicher gilt und die Möglichkeit ermöglicht, E-Mails zu fälschen und sich als der vermeintliche Absender auszugeben. Der Wissenschaftler habe jedoch nicht an ein Versehen geglaubt und die offenbarte Sicherheitslücke als ersten Bewerbungstest verstanden. Harris habe daher den Code geknackt und anschließend eine Mail an Google-Chef Larry Page gesendet. Als Absender habe er jedoch nicht sich selber eingesetzt, sondern den Google-Mitbegründer Sergey Brin. Schlussendlich habe er Vorkehrungen getroffen, dass eine mögliche Antwort ebenfalls in seinem Postfach landen würde. Diese sei jedoch ausgeblieben.

Eine Sprecherin von Google soll die Sicherheitslücke inzwischen gegenüber dem Online-Portal Wired eingestanden haben. Diese sei jedoch sehr ernst genommen worden und inzwischen durch die Einsetzung verlängerter Schlüssel behoben.

Kategorien: Internationaler Datenschutz
Schlagwörter: , ,

LDI RlP: Mobilfunkanbieter verwertet Standortdaten seiner Kunden

Der rheinland-pfälzische Landesdatenschutzbeauftragte (LDI RlP) Edgar Wagner äußerte anlässlich der jüngst bekannt gewordenen “Vermarktungsstrategie” des spanischen Mobilfunkanbieters Telefónica, zu dem auch das Unternehmen o2 gehört, Kritik. Der Telekommunikationkonzern plane durch das Projekt “Telefonica Dynamic Insight” Ortungsdaten von seinen Kunden, die Aufschluss geben, wann und wie lange sich ein Kunde – auch ohne zu telefonieren – aufhält, wirtschaftlich zu verwerten. Ermöglicht werde dies durch einen neuen unscheinbare anmutenden Passus im Vertragswerk des Mobilfunkanbieters, wonach o2 zukünftig nicht nur die Vertragsdaten (z.B. Anschrift, Bankverbindung und Ausweisnummer), sondern auch die bei der Mobilfunknutzung anfallenden Verkehrsdaten zu Vermarktungszwecken nutzen will. Zu diesen Daten würden neben den Nummern der Gesprächspartner auch die Standortdaten der Nutzer zählen. Schon jetzt werbe o2 seinen Werbekunden gegenüber mit dem Angebot: “Mit Telefónica Dynamic Insights können Sie ab jetzt sehen, wohin sich Kunden bewegen, während sie sich bewegen. Sie erfahren, wo Ihre potenziellen Kunden wirklich sind, wann sie da sind – und wie oft.”
Es müsse ausgeschlossen werden, dass höchstpersönliche Informationen meistbietend veräußert werden – dem Supermarkt von nebenan, dem PR-Konzern, vielleicht aber auch dem eigenen Arbeitgeber oder dem misstrauischen Ehegatten, kommentiert Wagner dieses Angebot. Da die Einführung des Vermarktungssystems in Deutschland bereits angekündigt wurde, rät Wagner den Kunden von o2 schnell zu handeln. Es solle gegenüber o2 protestiert werden und man solle der Nutzung ihrer Daten zu Werbezwecken ausdrücklich widersprechen. “Der Kampf um die wirtschaftliche Vermarktung der Kundendaten ist in vollem Gange. Jetzt heißt es für die Verbraucherinnen und Verbraucher, aufmerksam zu sein und dem Handel mit den eigenen Daten einen Riegel vorzuschieben. Solange der Gesetzgeber nicht wirksam einschreitet, muss jeder selbst für den Schutz seiner Daten eintreten.”, so Wagner.

BfDI: Internationale Datenschutzkonferenz fordert mehr Datenschutz in der Cloud

31. Oktober 2012
Cloud Computing war nach einer Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Schaar ein zentrales Thema der 34. Internationalen Datenschutzkonferenz, die vom 22.-26. Oktober in Uruguay stattgefunden hat. Ein gemeinsam mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit eingebrachter Entschließungsentwurf zum Cloud Computing sei von den versammelten Vertretern der Datenschutzbehörden aus aller Welt einstimmig angenommen.
“Wir waren uns einig, dass Cloud-Computing nicht zu Lasten des Datenschutzes gehen darf. Die Internationale Datenschutzkonferenz fordert Anbieter und alle anderen Beteiligten auf, ein hohes Datenschutzniveau für Cloud Computing-Dienste zu gewährleisten. Die Nutzer derartiger Dienste, insbesondere Unternehmen und öffentliche Stellen müssen sich vergewissern, dass die Cloud-Dienste ein ausreichendes Datenschutzniveau garantieren, sofern personenbezogene Daten verarbeitet werden sollen. Anbieter müssen für mehr Transparenz sorgen. Zudem müssen datenschutzrechtliche und -technische Anforderungen frühzeitig berücksichtigt werden (privacy by design). Eine grenzüberschreitende Datenverarbeitung setzt internationale Datenschutzstandards voraus. Die Datenschutzbehörden haben bereits entsprechende Entwürfe vorgelegt. Wir sind bereit, an deren Erarbeitung weiterhin mitzuwirken.”, so Schaar.

Kanada/Deutschland: Verbesserte Zusammenarbeit der Datenschutzaufsichtsbehörden

Die Datenschutzbeauftragte von Kanada (Privacy Commissioner of Canada) Stoddart und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in Deutschland (BfDI) Schaar haben eine gemeinsame Vereinbarung unterzeichnet, um ihre gegenseitige Zusammenarbeit in der grenzüberschreitenden Datenschutzaufsicht zu stärken.

Die Vereinbarung sieht nach einer Mitteilung des BfDI vor, dass beide Datenschutzbehörden im Rahmen ihrer Aufsichtstätigkeit Informationen austauschen und sich über wichtige Ereignisse oder Beschwerden gegenseitig unterrichten. In konkreten Fällen soll es damit künftig ermöglicht werden, auch koordinierte datenschutzrechtliche Aufsichtsverfahren beider Behörden durchzuführen, um den Schutz der Betroffenen unabhängig vom Ort der Datenverarbeitung zu gewährleisten. Die kanadischen und deutschen Datenschützer haben sich nach eigenen Angaben außerdem zum Ziel gesetzt, die Kooperation mit weiteren Datenschutzbehörden in aller Welt auszubauen.

“Deutschland hat den beneidenswerten Ruf, eine Führungsrolle beim Schutz der Privatsphäre und der personenbezogenen Daten einzunehmen. Ich freue mich sehr, in Berlin zu sein, um diese wichtige Vereinbarung für die Erleichterung der Zusammenarbeit zwischen unseren Behörden zu unterzeichnen. In einer Welt, in der Fragen des Datenschutzes keine Landesgrenzen kennen, müssen wir zur Sicherstellung unserer gemeinsamen Interessen zusammenarbeiten.”, so Stoddart.

Android: Diverse Apps verschlüsseln Kommunikation fehlerhaft

30. Oktober 2012

Wie Heise-Online berichtet besteht bei diversen Apps des Betriebssystems und der Software-Plattform Android ein erhebliches Problem mit der SSL-/TLS-Verschlüsselung. Das Online-Portal bezieht sich dabei auf eine Studie von Forschern der Leibniz-Universität in Hannover in Kooperation mit der Philipps-Universität Marburg. Diese hatten Android-Apps untersucht und dabei festgestellt, dass über 1.000 der 13.500 beliebtesten Anwendungen des im zweiten Quartal 2012 mit 68,1 % weltweiten Marktanteil stärksten Marktteilnehmers eine fehlerhafte oder unsichere Verschlüsselung aufwiesen. Die Ergebnisse veröffentlichten die Wissenschaftler in dem Paper  „Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security“.

Konkret wurden 100 Android-Apps eingehender von den Forschern unter die Lupe genommen, wobei zunächst die Codes der Apps statistisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners zertifizieren müssen, untersucht wurden. Da sich dabei noch nicht feststellen lässt, ob tatsächlich der gefundene Code zum Einsatz kommt, wurden im Anschluss sogenannte Man-In-The-Middle-Attacken durchgeführt, um die verschlüsselte Verbindung aufzubrechen. Dabei wurde festgestellt, dass 41 der untersuchten Apps anfällig für Angriffe waren. Den Forschern gelang es über diese Apps Zugriff auf Bank- und Kreditkartenkonten sowie an Zugangs-Tokens für Email-Konten, Facebook-Konten und Messaging-Services zu erlangen. 20 Apps akzeptierten dabei schlicht jedes Zertifikat, die restlichen 21 kontrollierten zwar die Gültigkeit der Unterschrift des Zertifikats, nicht jedoch ob dieses auch auf den richtigen Namen ausgestellt war.

Besondere Beachtung war nach dem Bericht von Heise dabei dem plakativen Umstand zu schenken, dass es den Forschern gelang, Zoner AntiVir für Android eine gefälschte Signatur unterzuschieben, durch welche sich das Programm anschließend selbst als Bedrohung einstufte und die eigene Löschung anbot.

Kategorien: Hackerangriffe · Mobile Business
Schlagwörter: , ,

South Carolina: Cyberangriff auf 3,6 Millionen Sozialversicherungsnummern

Medienberichten zufolge haben Unbekannte bei einem Cyberangriff auf Computersysteme der Finanzbehörde des US-Bundesstaates South Carolina (South Carolina Department of Revenue) 3,6 Millionen Sozialversicherungsnummern erbeuten können. Betroffen seien Bürger des Bundesstaates, die seit 1998 eine Steuerrückerstattung beantragt haben. Darunter fielen auch Personen, die seitdem in einen anderen Bundesstaat gezogen sind.

“Wir haben unverzüglich Maßnahmen ergriffen, um die Steuerzahler in South Carolina zu schützen”, soll Gouverneur Nikki Haley den Angriff kommentiert haben. Die Betroffenen werde u.a. ermöglicht, über einem Zeitraum von einem Jahr eine Kreditüberwachung zu verwenden.

Do Not Track Signal des Internet Explorer 10 wird von Yahoo! missachtet

29. Oktober 2012

Vergangene Woche wurde Windows 8 von Microsoft veröffentlicht. Bestandteil des Betriebssystems ist auch der Internet Explorer 10. Dies ist insofern erwähnenswert, dass der Internet Explorer 10 der erste Browser ist, der die Do Not Track (DNT) Kennung per Voreinstellung aktiviert hat. Dieser Umstand wurde bereits im Vorfeld der Veröffentlichung kontrovers diskutiert.

Yahoo! hat auf Microsofts Vorstoß nun derart reagiert, dass vom Internet Explorer 10 gesendete Do Not Track Signale ignoriert werden. Begründet wird dies mit dem Schutz der Nutzerinteressen. Die Yahoo! Nutzer seien daran gewöhnt, maßgeschneiderte Angebote, wie örtliches Wetter, Sportergebnisse, Aktienkurse oder auch Werbungen auf der Seite zu erhalten. Zum Schutz dieses personalisierten Nutzererlebnisses sei es nicht hinnehmbar, dass Microsoft einseitig entscheide, das Do Not Track Signal zu aktivieren. Hierin liege keine Entscheidung des Nutzers, sondern ausschließlich des Browserherstellers.

Nichtsdestotrotz bekräftigt Yahoo! seine grundsätzliche Unterstützung des DNT Ansatzes, solange dabei Nutzerinteressen und nicht die Auffassung von Browserherstellern, Plug-In-Schreibern oder sonstigen Dritten abgebildet würden.

Zu bedenken ist, dass von der Entscheidung Yahoo!s auch solche Nutzer des Internet Explorer 10 betroffen sind, die sich bewusst für die Do Not Track Option entscheiden wollen, da es nicht möglich ist zu unterscheiden, ob das Do Not Track Signal als Voreinstellung oder auf Veranlassung des Nutzers gesendet wird. Trotz des Lippenbekenntnisses zum DNT Ansatz versagt Yahoo! den Nutzern des Internet Explorer 10 somit generell diese Möglichkeit sich gegen Tracking zur Wehr zu setzen, anstatt denjenigen, die tatsächlich verfolgt werden wollen, zuzutrauen, die entsprechende Option zu aktivieren.

Die Haltung Yahoo!s dient damit als geradezu exemplarisches Beispiel für die Befürchtungen europäischer Datenschützer, dass der Do Not Track Ansatz verwässert werden könne, oder durch ein selbstreguliertes Vorgehen im Rahmen des W3C nicht zum Erfolg geführt werden könne.

1 253 254 255 256 257 296