Das Thema Datenschutz ist schon spannend. Die halbe Welt (inkl. mir selbst) zeigt mit dem Finger auf Facebook, WhatsApp und Google und trotzdem werden die Dienste weiter fröhlich genutzt. Komfort und Funktionalität schlagen dann eben doch immer wieder die Bedenken in Sachen Datenschutz. Anfang des Jahres entdeckten zwei Sicherheitsforscher dann, dass verschiedene Apps heimlich die Zwischenablage von iOS auslesen und somit Zugriff auf die darin lagernden Informationen haben, bei denen es sich auch um Passwörter oder Kreditkarteninformationen handeln könnte. Mit iOS 14 wird Apple hier eine neue Funktion anbieten, die den Nutzern einen Hinweis anzeigt, wenn dies geschieht. Seit die erste Beta des neuen Betriebssystems in Umlauf ist, wird das Ausmaß des Ausnutzens der Lücke überhaupt erst bekannt.

So musste die dieser Tage extrem beliebte Video-App TikTok bereits einräumen, dass man die Zwischenablage ausgelesen hat, ohne den Nutzer hierüber zu informieren. Man begründete dies mit einer Maßnahme gegen Spam, hat aber inzwischen bereits ein Update veröffentlicht, welches die Vorgehensweise nicht länger fortführt. Auch Twitter, Starbucks, Overstock oder AccuWeather wurden bereits beim Schnüffeln in der Zwischenablage erwischt. Nun ist eine weitere hochrangige App bekannt geworden, die sogar bei jedem Anschlag auf der virtuellen iPhone-Tastatur auf die Zwischenablage zugreift: Das berufliche Netzwerk LinkedIn.

LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification.

I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro.

Tik tok just got called out for this exact reason. pic.twitter.com/l6NIT8ixEF

— Don ???????????????? urspace.io (@DonCubed) July 2, 2020

In einem Statement gegenüber ZDNet erklärte LinkedIn bereits, dass es sich bei dem Auslesen um einen "Bug" handeln würde. Die ausgelesenen Inhalte werden nicht gespeichert oder auf die LinkedIn-Server übertragen. Man arbeite bereits an einem Update, welches das Auslesen künftig abschaltet.

Glaubwürdigkeit hin oder her, das Traurige an der ganzen Geschichte ist letzten Endes, dass die Unternehmen ihre Praktiken so lange durchführen, bis sie dabei erwischt werden. Wie gesagt, die Lücke wurde bereits Anfang des Jahres bekannt und zumindest bei TikTok hat ja bereits zugegeben, dass man sie bewusst ausgenutzt hat. Aus Entwicklersicht kann ich mir beim besten Willen auch nicht vorstellen, dass die LinkedIn-Vorgehensweise "aus Versehen" oder als "Bug" implementiert wurde. Und dennoch dauerte es bis zur Veröffentlichung der ersten Beta von iOS 14 und damit der öffentlichen Enttarnung, bis man endlich reagierte.

Zugegeben, zuletzt gab es nicht mehr ganz so viele haarsträubende Datenschutz-Probleme beim weltgrößten sozialen Netzwerk Facebook. Nun ist es aber mal wieder soweit. Wie das Unternehmen inzwischen offiziell bestätigt hat waren zuletzt tausende externe Entwickler in der Lage, auf Daten von inaktiven Nutzern zuzugreifen. Nach dem Cambridge Analytica Skandal vor zwei Jahren hatte Facebook eigentlich neue Richtilinien erlassen, durch die eine solche Situation unterbunden werden sollte und die Entwickler daran hindern sollte, auf Daten zuzugreifen, die Facebook seit drei Monaten nicht mehr genutzt haben. Diese Richtlinien scheinen nicht wirklich gegriffen zu haben.

Wie Engadget anmerkt, hat sich Facebook nicht dazu geäußert, wie lange die Lücke bereits bestand und wie viele Nutzer von ihr betroffen sind. Das Unternehmen teilte lediglich mit, dass sie behoben wurde, sobald man Kenntnis von ihr erlangt hatte und dass auf keine Daten zugegriffen werden konnte außer auf die, die der Nutzer freigegeben hatte, während er noch auf Facebook aktiv war.

Anfang des Jahres haben die beiden Entwickler Talal Haj Bakry und Tommy Mysk die Aufmerksamkeit von Apple-Nutzern auf ein Problem gelenkt, bei dem Apps vom Nutzer unbemerkt auf den Inhalt der Zwischenablage zugreifen und dabei unter Umständen auch sicherheitskritische und sensible Daten wie Passwörter oder Kreditkarteninformationen auslesen können. Mit iOS 14 wird sich Apple dieses Problems nun annehmen und eine Warnmeldungen anzeigen, sobald eine App auf den Inhalt der Zwischenablage zugreifen möchte. Bereits in der ersten Beta von iOS 14 ist diese neue Funktion aktiviert, was weitere Apps zu Tage förderte, die von der ungewünschten und kritischen Praxis Gebrauch machen. Eines der prominentesten Beispiele ist dabei die beliebte Video-App TikTok, wie unter anderem der Telegraph berichtete.

Bei TikTok sah man sich durch die nun offensichtlich gewordene Nutzung der Funktion dazu gezwungen, diese seit dem letzten Update nicht mehr anzuwenden und die bisherige Nutzung halbherzig mit einer Maßnahme gegen Spam zu erklären. Andere Apps und Entwickler dürften diesem Beispiel demnächst folgen.

Und immer wenn du denkst, noch einen können sie nicht draufsetzen, holen sie so ein Ding raus. Aktuell boomen aufgrund der Coronakrise vor allem auch Plattformen für Videokonferenzen, wie beispielsweise Microsoft Teams, Cisco WebEx oder Zoom. Letzterer Dienst handelt sich allerdings derzeit zumindest aus technischer Sicht mehr negative als positive Schlagzeilen ein. Nachdem erst kürzlich bekannt wurde, dass die iOS-App von Zoom für den Nutzer nicht erkennbar und ungefragt Daten an Facebook verschickte. Und das auch dann, wenn dieser gar nicht über ein Konto auf dem sozialen Netzwerk verfügt. Anfang der Woche kam dann noch ans Licht, dass Zoom mit einer Ende-zu-Ende Verschlüsselung seines Dienstes wirbt, diese aber überhaupt nicht realisiert.

Nun kommt der nächste Hammer. So haben die Kollegen von Motherboard herausgefunden, dass Zoom offenbar sehr offenherzig mit den persönlichen Daten seiner Nutzer umgeht. So sind unter anderem die E-Mail Adresse und das Foto von mehreren tausend Nutzern für andere Nutzer sichtbar, ohne dass man sich mit diesen explizit verbunden hätte. Das Problem liegt dabei offenbar im sogenannten "Company Directory" von Zoom, in das automatisch Nutzer aufgenommen werden, wenn sie dieselbe Mail-Domain verwenden. Zwar wird es hierdurch einfacher, Kollegen zu finden und mit diesem eine virtuelle Konferenz zu starten, allerdings werden hierdurch auch Nutzer mit Mail-Domains von kleineren Providern (Dienste wie Hotmail, Yahoo, Gmail und Co. sind offenbar nicht betroffen) zusammengefasst, als ob sie für dasselbe Unternehmen arbeiten würden. So berichtet ein Nutzer:

"I was shocked by this! I subscribed (with an alias, fortunately) and I saw 995 people unknown to me with their names, images and mail addresses. [...] If you subscribe to Zoom with a non-standard provider (I mean, not Gmail or Hotmail or Yahoo etc), then you get insight to ALL subscribed users of that provider: their full names, their mail addresses, their profile picture (if they have any) and their status. And you can video call them."

Auf seiner Webseite schreibt Zoom zum "Conpany Directory":

"By default, your Zoom contacts directory contains internal users in the same organization, who are either on the same account or who's email address uses the same domain as yours (except for publicly used domains including gmail.com, yahoo.com, hotmail.com, etc) in the Company Directory section."

Allerdings werden offenbar nicht alle Domains dabei herausgefiltert, so dass kleinere Mail-Endungen fälschlicherweise einem Unternehmen zugeordnet werden, was zu den angesprochenen Problemen führt. Der o.g. Nutzer berichtet, dass unter anderem die Domains der niederländischen Provider xs4all.nl, dds.nl und quicknet.nl betroffen sind. XS4ALL kommentierte das Problem bereits am Wochenende auf Twitter.

Vermoedelijk omdat je zelf een gebruiker hebt aangemaakt met @xs4all.nl en dit dus overeenkomt met andere XS4ALL gebruikers. Dit is iets wat wij niet kunnen uitschakelen. Je zou kunnen kijken of Zoom je hier verder mee kan helpen. *FJ

— XS4ALL (@xs4all) March 29, 2020

Sollte man selbst betroffen sein, kann man in einer speziellen Sektion der Zoom-Webseite das Entfernen einer Domain aus dem "Company Directory" Feature beantragen.

Erneut werfen die Datenschutz-Praktiken bei Zoom kein gutes Licht auf das Unternehmen. Neben den Problemen der vergangenen Tage entdeckten Sicherheitsforscher im vergangenen Jahr eine Lücke, durch den es Angreifern möglich war, die Webcam des Nutzers unbemerkt zu übernehmen. Über die beiden anderen oben genannten Apps (Microsoft Teams, Cisco WebEx ) sind derlei Probleme aktuell nicht bekannt. Wer also Bedenken bei der Nutzung von Zoom hat, sollte einen Wechsel in Betracht ziehen.

Mit dem Start von iOS 13 hat Apple im vergangenen Jahr schärfere Maßnahmen gegen das Location-Tracking eingeführt. So kann man nun nicht nur feiner steuern, ob eine App suf die GPS-Informationen auch im Hintergrund oder nur beim Nutzen der App zugreifen darf, das System fragt auch regelmäßig nach, ob die Einstellungen noch aktuell sind, sollte man sich für erstere Einstellung entschieden haben. Diese Maßnahmen scheinen den von Apple gewünschten Erfolg gebracht zu haben, wie aktuelle Zahlen von Location Sciences (via Fast Company) zeigen.

So soll der Zugriff auf die Standortdaten im Hintergrund durch Drittanbieter-Apps mit iOS 13 um 68% zurückgegangen sein. Und auch während der Nutzung einer App gab es einen Rückgang. Dort betrug er immer noch beachtliche 24%. Ein weiterer Bericht von Digiday sagt aus, dass weniger als 50% der Nutzer den Apps inzwischen Zugriff auf ihren Standort gewähren wenn sich diese im Hintergrund befinden.

Apple und die US-amerikanischen Strafverfolgungsbehörden liegen inzwischen schon seit einigen Jahren im Clinch. Im Wesentlichen geht es dabei stets um Apples Umgang mit den Daten seiner Nutzer. Hierauf würden die Behörden nämlich allzu gerne zugreifen, wogegen sich Apple jedoch im Rahmen der in den USA herrschenden Gesetze wehrt. Erst kürzlich gab es wieder Diskussionen um das Entsperren des iPhone eines Amokschützen, was Apple nach wie vor strikt ablehnt. Gesetzlich verpflichtet ist Apple hingegen, auf seinen Servern gespeicherte Nutzerdaten herauszugeben, wenn hierzu eine richterliche Anordnung vorliegt. Dies betrifft auch die auf den Servern lagernden iCloud-Backups. Informationen zu den angeforderten und herausgegebenen Daten veröffentlicht Apple regelmäßig in seinem Transparenzbericht.

Vor etwas mehr als zwei Jahren hatte Apple das FBI hierzu informiert, dass man plant, diese Backups künftig auch mit einer Ende-zu-Ende Verschlüsselung zu versehen, was es Apple und damit auch dem FBI de facto unmöglich machen würde, auf die darin enthaltenen Daten zuzugreifen, wie Reuters berichtet. Offenbar hat man diese Pläne nun jedoch in Cupertino verworfen. Ob dies an einer Intervention des FBI oder der US-Regierung liegt, kann nicht mit abschließender Sicherheit gesagt werden. Allerdings zitiert der Bericht einen ehemaligen Apple-Mitarbeiter in die Richtung, dass es das Unternehmen offenbar nicht riskieren will, sich vorwerfen zu lassen, Kriminelle auf diese Weise zu schützen und hierfür verklagt zu werden. Bereits jetzt werden iCloud-Backups verschlüsselt auf den Apple-Servern abgelegt, allerdings ist das Unternehmen im Besitz dieses Schlüssels, wie Apple in einem zugehörigen Support-Dokument erklärt.

Wer hier datenschutztechnische Bedenken hat, kann übrigens seine iPhone- und iPad-Backups nach wie vor verschlüsselt auf der eigenen Festplatte abglegen, statt sie auf iCloud zu lagern. Ich persönlich habe die Option iCloud-Backup noch nie aktiviert, was weniger an irgendwelchen Bedenken liegt, als vielmehr daran, dass mir der iCloud-Speicherplatz schlicht zu teuer ist und das Wiederherstellen eines Geräts aus einem lokalen Backup deutlich schneller von der Hand geht als aus der Cloud.

Anfang der Woche hatte Apple die zweite Beta von iOS 13.3.1 veröffentlicht. Bislang unbemerkt findet sich darin auch ein neuer Schalter, mit dem Apple auf Kritik an der Ortungsfunktion des iPhone 11 reagiert. Diese entstand, weil aufmerksame Nutzer festgestellt hatten, dass die Ortungsfunktion auch dann aktiv wird, wenn man sie eigentlich für alle Apps und auch Systemdienste deaktiviert hatte. Wie sich herausstellte, stand dies im Zusammenhang mit dem im iPhone 11 erstmals verbauten Ultra Wideband Chip, der auf die Standortinformationen zugriff um festzustellen, ob er in der aktuellen Region genutzt werden darf. Apple kündigte daraufhin einen neuen Schalte in einem kommenden Update an, mit dem sich dies deaktivieren lassen soll. Dieser Schalter ist nun erstmals gesichtet worden.

Der Twitter-Nutzer Brandon Butch hatte ihn als erster entdeckt. Er befindet sich in den Einstellungen im Bereich "Datenschutz > Ortungsdienste > Systemdienste" und hört dort auf den Namen "Netzwerk & Drahtlose Kommunikation". Zumindest in meinem Fall war der Schalter standardmäßig deaktiviert. Aktiviert und deaktiviert man ihn anschließend wieder, erscheint die unten zu sehende Meldung, dass hierdurch möglicherweise die Bluetooth-, WLAN- und Ultrabreitbandleistung beeinträchtigt wird.

Apple legte in diesem Jahr einen seltenen Auftritt auf der CES in Las Vegas hin, weniger um dabei neue Produkte zu zeigen, sondern um über das Thema Datenschutz zu referieren und zu diskutieren. Dabei ging es unter anderem auch um die Sicherheit und den Schutz von Kindern und Apple hat dazu sogar eine eigene kleine Webseite unter dem Titel "Our Commitment to Child Safety" online gestellt. Darn informiert Apple unter anderem auch darüber, dass die auf iCloud hochgeladenen Bilder und Fotos automatisiert auf elektronische Signaturen geprüft werden, die auf den Missbrauch von Kindern hinweisen. Sollte eine solche Signatur gefunden werden, werden nicht nur die entsprechenden Bilder entfernt, sondern auch der zugehörige Account gesperrt. Apple schreibt dazu:

Apple is dedicated to protecting children throughout our ecosystem wherever our products are used, and we continue to support innovation in this space. We have developed robust protections at all levels of our software platform and throughout our supply chain. As part of this commitment, Apple uses image matching technology to help find and report child exploitation. Much like spam filters in email, our systems use electronic signatures to find suspected child exploitation. We validate each match with individual review. Accounts with child exploitation content violate our terms and conditions of service, and any accounts we find with this material will be disabled.