Und immer wenn du denkst, noch einen können sie nicht draufsetzen, holen sie so ein Ding raus. Aktuell boomen aufgrund der Coronakrise vor allem auch Plattformen für Videokonferenzen, wie beispielsweise Microsoft Teams, Cisco WebEx oder Zoom. Letzterer Dienst handelt sich allerdings derzeit zumindest aus technischer Sicht mehr negative als positive Schlagzeilen ein. Nachdem erst kürzlich bekannt wurde, dass die iOS-App von Zoom für den Nutzer nicht erkennbar und ungefragt Daten an Facebook verschickte. Und das auch dann, wenn dieser gar nicht über ein Konto auf dem sozialen Netzwerk verfügt. Anfang der Woche kam dann noch ans Licht, dass Zoom mit einer Ende-zu-Ende Verschlüsselung seines Dienstes wirbt, diese aber überhaupt nicht realisiert.

Nun kommt der nächste Hammer. So haben die Kollegen von Motherboard herausgefunden, dass Zoom offenbar sehr offenherzig mit den persönlichen Daten seiner Nutzer umgeht. So sind unter anderem die E-Mail Adresse und das Foto von mehreren tausend Nutzern für andere Nutzer sichtbar, ohne dass man sich mit diesen explizit verbunden hätte. Das Problem liegt dabei offenbar im sogenannten "Company Directory" von Zoom, in das automatisch Nutzer aufgenommen werden, wenn sie dieselbe Mail-Domain verwenden. Zwar wird es hierdurch einfacher, Kollegen zu finden und mit diesem eine virtuelle Konferenz zu starten, allerdings werden hierdurch auch Nutzer mit Mail-Domains von kleineren Providern (Dienste wie Hotmail, Yahoo, Gmail und Co. sind offenbar nicht betroffen) zusammengefasst, als ob sie für dasselbe Unternehmen arbeiten würden. So berichtet ein Nutzer:

"I was shocked by this! I subscribed (with an alias, fortunately) and I saw 995 people unknown to me with their names, images and mail addresses. [...] If you subscribe to Zoom with a non-standard provider (I mean, not Gmail or Hotmail or Yahoo etc), then you get insight to ALL subscribed users of that provider: their full names, their mail addresses, their profile picture (if they have any) and their status. And you can video call them."

Auf seiner Webseite schreibt Zoom zum "Conpany Directory":

"By default, your Zoom contacts directory contains internal users in the same organization, who are either on the same account or who's email address uses the same domain as yours (except for publicly used domains including gmail.com, yahoo.com, hotmail.com, etc) in the Company Directory section."

Allerdings werden offenbar nicht alle Domains dabei herausgefiltert, so dass kleinere Mail-Endungen fälschlicherweise einem Unternehmen zugeordnet werden, was zu den angesprochenen Problemen führt. Der o.g. Nutzer berichtet, dass unter anderem die Domains der niederländischen Provider xs4all.nl, dds.nl und quicknet.nl betroffen sind. XS4ALL kommentierte das Problem bereits am Wochenende auf Twitter.

Vermoedelijk omdat je zelf een gebruiker hebt aangemaakt met @xs4all.nl en dit dus overeenkomt met andere XS4ALL gebruikers. Dit is iets wat wij niet kunnen uitschakelen. Je zou kunnen kijken of Zoom je hier verder mee kan helpen. *FJ

— XS4ALL (@xs4all) March 29, 2020

Sollte man selbst betroffen sein, kann man in einer speziellen Sektion der Zoom-Webseite das Entfernen einer Domain aus dem "Company Directory" Feature beantragen.

Erneut werfen die Datenschutz-Praktiken bei Zoom kein gutes Licht auf das Unternehmen. Neben den Problemen der vergangenen Tage entdeckten Sicherheitsforscher im vergangenen Jahr eine Lücke, durch den es Angreifern möglich war, die Webcam des Nutzers unbemerkt zu übernehmen. Über die beiden anderen oben genannten Apps (Microsoft Teams, Cisco WebEx ) sind derlei Probleme aktuell nicht bekannt. Wer also Bedenken bei der Nutzung von Zoom hat, sollte einen Wechsel in Betracht ziehen.

Mit dem Start von iOS 13 hat Apple im vergangenen Jahr schärfere Maßnahmen gegen das Location-Tracking eingeführt. So kann man nun nicht nur feiner steuern, ob eine App suf die GPS-Informationen auch im Hintergrund oder nur beim Nutzen der App zugreifen darf, das System fragt auch regelmäßig nach, ob die Einstellungen noch aktuell sind, sollte man sich für erstere Einstellung entschieden haben. Diese Maßnahmen scheinen den von Apple gewünschten Erfolg gebracht zu haben, wie aktuelle Zahlen von Location Sciences (via Fast Company) zeigen.

So soll der Zugriff auf die Standortdaten im Hintergrund durch Drittanbieter-Apps mit iOS 13 um 68% zurückgegangen sein. Und auch während der Nutzung einer App gab es einen Rückgang. Dort betrug er immer noch beachtliche 24%. Ein weiterer Bericht von Digiday sagt aus, dass weniger als 50% der Nutzer den Apps inzwischen Zugriff auf ihren Standort gewähren wenn sich diese im Hintergrund befinden.

Apple und die US-amerikanischen Strafverfolgungsbehörden liegen inzwischen schon seit einigen Jahren im Clinch. Im Wesentlichen geht es dabei stets um Apples Umgang mit den Daten seiner Nutzer. Hierauf würden die Behörden nämlich allzu gerne zugreifen, wogegen sich Apple jedoch im Rahmen der in den USA herrschenden Gesetze wehrt. Erst kürzlich gab es wieder Diskussionen um das Entsperren des iPhone eines Amokschützen, was Apple nach wie vor strikt ablehnt. Gesetzlich verpflichtet ist Apple hingegen, auf seinen Servern gespeicherte Nutzerdaten herauszugeben, wenn hierzu eine richterliche Anordnung vorliegt. Dies betrifft auch die auf den Servern lagernden iCloud-Backups. Informationen zu den angeforderten und herausgegebenen Daten veröffentlicht Apple regelmäßig in seinem Transparenzbericht.

Vor etwas mehr als zwei Jahren hatte Apple das FBI hierzu informiert, dass man plant, diese Backups künftig auch mit einer Ende-zu-Ende Verschlüsselung zu versehen, was es Apple und damit auch dem FBI de facto unmöglich machen würde, auf die darin enthaltenen Daten zuzugreifen, wie Reuters berichtet. Offenbar hat man diese Pläne nun jedoch in Cupertino verworfen. Ob dies an einer Intervention des FBI oder der US-Regierung liegt, kann nicht mit abschließender Sicherheit gesagt werden. Allerdings zitiert der Bericht einen ehemaligen Apple-Mitarbeiter in die Richtung, dass es das Unternehmen offenbar nicht riskieren will, sich vorwerfen zu lassen, Kriminelle auf diese Weise zu schützen und hierfür verklagt zu werden. Bereits jetzt werden iCloud-Backups verschlüsselt auf den Apple-Servern abgelegt, allerdings ist das Unternehmen im Besitz dieses Schlüssels, wie Apple in einem zugehörigen Support-Dokument erklärt.

Wer hier datenschutztechnische Bedenken hat, kann übrigens seine iPhone- und iPad-Backups nach wie vor verschlüsselt auf der eigenen Festplatte abglegen, statt sie auf iCloud zu lagern. Ich persönlich habe die Option iCloud-Backup noch nie aktiviert, was weniger an irgendwelchen Bedenken liegt, als vielmehr daran, dass mir der iCloud-Speicherplatz schlicht zu teuer ist und das Wiederherstellen eines Geräts aus einem lokalen Backup deutlich schneller von der Hand geht als aus der Cloud.

Anfang der Woche hatte Apple die zweite Beta von iOS 13.3.1 veröffentlicht. Bislang unbemerkt findet sich darin auch ein neuer Schalter, mit dem Apple auf Kritik an der Ortungsfunktion des iPhone 11 reagiert. Diese entstand, weil aufmerksame Nutzer festgestellt hatten, dass die Ortungsfunktion auch dann aktiv wird, wenn man sie eigentlich für alle Apps und auch Systemdienste deaktiviert hatte. Wie sich herausstellte, stand dies im Zusammenhang mit dem im iPhone 11 erstmals verbauten Ultra Wideband Chip, der auf die Standortinformationen zugriff um festzustellen, ob er in der aktuellen Region genutzt werden darf. Apple kündigte daraufhin einen neuen Schalte in einem kommenden Update an, mit dem sich dies deaktivieren lassen soll. Dieser Schalter ist nun erstmals gesichtet worden.

Der Twitter-Nutzer Brandon Butch hatte ihn als erster entdeckt. Er befindet sich in den Einstellungen im Bereich "Datenschutz > Ortungsdienste > Systemdienste" und hört dort auf den Namen "Netzwerk & Drahtlose Kommunikation". Zumindest in meinem Fall war der Schalter standardmäßig deaktiviert. Aktiviert und deaktiviert man ihn anschließend wieder, erscheint die unten zu sehende Meldung, dass hierdurch möglicherweise die Bluetooth-, WLAN- und Ultrabreitbandleistung beeinträchtigt wird.

Apple legte in diesem Jahr einen seltenen Auftritt auf der CES in Las Vegas hin, weniger um dabei neue Produkte zu zeigen, sondern um über das Thema Datenschutz zu referieren und zu diskutieren. Dabei ging es unter anderem auch um die Sicherheit und den Schutz von Kindern und Apple hat dazu sogar eine eigene kleine Webseite unter dem Titel "Our Commitment to Child Safety" online gestellt. Darn informiert Apple unter anderem auch darüber, dass die auf iCloud hochgeladenen Bilder und Fotos automatisiert auf elektronische Signaturen geprüft werden, die auf den Missbrauch von Kindern hinweisen. Sollte eine solche Signatur gefunden werden, werden nicht nur die entsprechenden Bilder entfernt, sondern auch der zugehörige Account gesperrt. Apple schreibt dazu:

Apple is dedicated to protecting children throughout our ecosystem wherever our products are used, and we continue to support innovation in this space. We have developed robust protections at all levels of our software platform and throughout our supply chain. As part of this commitment, Apple uses image matching technology to help find and report child exploitation. Much like spam filters in email, our systems use electronic signatures to find suspected child exploitation. We validate each match with individual review. Accounts with child exploitation content violate our terms and conditions of service, and any accounts we find with this material will be disabled.

Jahr für Jahr nutzen verschiedene von Apples Konkurrenten auf dem Smartphonemarkt die jeweils im Januar in Las Vegas stattfindende Consumer Electronics Show (CES), während Apple selbst auf der Veranstaltung bereits seit Jahren durch Abwesenheit glänzt. Dies wird sich im kommenden Jahr ändern. Allerdings wird Apple die Show nicht nutzen, um neue Produkte vorzustellen. Stattdessen entsendet man die zuständige Managerin für Datenschutz, Jane Horvath (Senior Director of Privacy) nach Las Vegas, wo sie im Rahmen eines "Chief Privacy Officer Roundtable" gemeinsam mit den Privacy-Managern von Facebook, Procter & Gamble und the FTC unter dem Titel "What consumers want" über das Thema Datenschutz diskutieren wird, wie Bloomberg berichtet.

Während man im vergangenen Jahr durch eine Guerilla-Aktion in Sachen Datenschutz während der CES für ein wenig Aufmerksamkeit sorgte, datiert der letzte offizielle Auftritt Apples bei der Veranstaltung aus dem Jahr 1992, als der damalige CEO John Sculley den Apple Newton präsentierte.

Apple geht mit der Nutzung der Ortungsfunktion des iPhone durchaus offen und transparent um. Vor allem im Vergleich mit anderen Herstellern. Dennoch wird sich der eine oder andere Nutzer vermutlich schon einmal gefragt haben, warum eigentlich der kleine Pfeil, der die Nutzung der GPS-Daten durch eine App oder das System in der Statusleiste unter iOS signalisiert, in dieser oder jener Situation dort auftaucht. Nun hat sich ein Sicherheitsforscher dieser Frage einmal angenommen und dabei entdeckt, dass das iPhone sehr wohl im Hintergrund den aktuellen Standort ermittelt, auch wenn dies für die gerade laufende App oder auch für verschiedene Systemfunktionen eigentlich in den Datenschutzeinstellungen des Geräts deaktiviert ist.

Der angesprochene Sicherheitsforscher Brian Krebs hat seine Entdeckungen auf KrebsOnSecurity veröffentlicht und auch das unten eingebettete Video erstellt, welches das merkwürdige Verhalten in bewegten Bildern zeigt. Die einzige Möglichkeit, den Zugriff auf den Standort zu unterbinden ist, dies komplett in den Einstellungen zu deaktivieren, was offenbar noch einmal einen anderen Effekt hat als das Deaktivieren der einzelnen Schalter für Apps und Systemfunktionen.

YouTube Direktlink

Inzwischen hat auch Apple auf die Meldung reagiert und spricht in einer Stellungnahme von einem normalen Verhalten ("expected behavior"). So können bestimmte Systemfunktionen vom Nutzer nicht einzeln gesteuert werden, wodurch auch bestimmte dieser Funktionen im Hintergrund Zugriff auf den Standort erhalten. Immerhin stellt Apple auch diese Zugriffe transparent durch die Einblendung des entsprechenden Symbols in der Statusleiste dar.

"We do not see any actual security implications. It is expected behavior that the Location Services icon appears in the status bar when Location Services is enabled. The icon appears for system services that do not have a switch in Settings."

Eine der von Apple in diesem Zusammenhang angesprochenen Funktionen, die mir dabei in den Sinn kommt, ist das Ermitteln der Standortdaten zum Zwecke des Befüllens der eigenen Datenbank von Standorten von WLANs und Mobilfunkmasten. Diese Informationen werden von Apple in verschlüsselter und anonymisierter Form gesammelt, um über eine Dreieckspeilung eine noch genauere Standortermittlung vornehmen zu können. Apple schreibt hierzu in seinem zugehörigen Support-Dokument:

Sind die Ortungsdienste aktiviert, sendet dein iPhone in regelmäßigen Abständen die per Geotagging markierten Positionen von nahegelegenen WLAN-Hotspots und Mobilfunkmasten (sofern von einem Gerät unterstützt) in anonymisierter und verschlüsselter Form an Apple, um die Crowdsourcing-Datenbank mit den WLAN-Hotspot- und Mobilfunkmastenpositionen zu erweitern.

Bereits vor wenigen Tagen wurde bekannt, dass der russische Präsident Putin wohl ein neues Gesetz unterzeichnen wird, welches künftig Hersteller von Smartphones, Computern, Tablets oder auch Smart TVs dazu verpflichtet, russische Apps auf den im Land vertriebenen Geräten vorzuinstallieren. Aus diesem Bericht ist heute nun ein Fakt geworden und das entsprechende Gesetz wurde unterzeichnet, wie Reuters berichtet. Nach offiziellen Angaben soll das Gesetz vor allem die lokalen Wirtschaft dabei unterstützen, mit ausländischen IT-Konzernen besser konkurrieren zu können. Datenschützer haben jedoch bereits größere Bedenken angemeldet, dass auf diese Weise Überwachungs-Apps auf die Geräte geschleust werden sollen, was dazu führen könnte, dass sich manche Hersteller komplett aus dem Markt zurückziehen. Kommt ein Hersteller der Installation der geforderten Apps nicht nach, werden seine Geräte für den russischen Markt ab Juli 2020 ohnehin nicht mehr zugelassen, wie BBC News beriets berichtete.

Es wird zudem davon ausgegangen, dass die vorinstallierten Apps keine Prüfungen durchlaufen müssen, wie dies Beispielsweise bei der Zulassung für den iOS AppStore der Fall ist. Dem Einbau irgendwelcher Hintertüren und sonstiger Spionagesoftware wäre in diesem Falle also Tür und Tor geöffnet. Dies ruft natürlich auch Apple auf den Plan, wo man ja bekanntermaßen sehr viel Wert auf den Datenschutz bei seinen Nutzern legt. Entsprechend hat ein Unternehmenssprecher gegenüber der russischen Publikation The Bell (Google-Übersetzung) bereits zu Protokoll gegeben, dass das Gesetz vergleichbar mit einem Jaibreak der Apple-Geräte sei: "A mandate to add third-party applications to Apple's ecosystem would be equivalent to jailbreaking. It would pose a security threat, and the company cannot tolerate that kind of risk."

Der Moscow Times zufolge wird die russische Regierung in Kürze eine Liste von Apps und Software veröffentlichen, die künftig auf den Geräten vorinstalliert sein müssen, möchte man seine Geräte weiter in Russland vertreiben. Auch zu diesen Geräten soll es dann eine entsprechende Liste geben.