Datenschutz Mega-GAU: Foursquare versendet ungefragt E-Mail-Adressen und Telefonnummern

Nach dem großen Datenschutz-GAU bei Path werden nun auch bei Foursquare ungefragt E-Mail-Adressen und Telefonnummern hochgeladen. Dies geschieht, wenn man über das iPhone ein neues Konto anlegt und betrifft zumindest die aktuelle Version. Ob die Daten möglicherweise auch in vorigen Versionen verschickt wurden ist unklar.

English summary: see below.

UPDATE: Ich habe dazu auch eine datenschutzrechtliche Einstufen geschrieben. Siehe auch meinen Debattenbeitrag “Was interessieren mich die Daten meiner Freunde? – Die Post-Privacy-Kollateralschäden“.

Ich habe über einen SSL-Proxy den Datenverkehr bei einer Neuanmeldung mitgeschnitten, nachdem ich diesen Tweet gelesen habe.

Folgende Daten werden im ersten Schritt an die Foursquare-Server geschickt. Sie enthalten die Anmeldedaten und sind für die Registrierung notwendig.

Nach der Anmeldung werden weitere Daten an den Server geschickt, ohne, dass der Nutzer gefragt wird oder ein Hinweis erscheint. Die Daten enthalten die Telefonnummern und E-Mail-Adressen (URL-kodiert):

Weiter unten sieht das Paket so aus:

Dies ist die Serverantwort. Per JSON werden Daten zurückgesendet, welche E-Mail-Adressen oder Telefonnummern einem Foursquare-Konto zugeordnet sind:


Apple muss unbedingt eine Abfrage einbauen, bevor Apps auf das Adressbuch zugreifen können.

UPDATE: Ich habe dazu auch eine datenschutzrechtliche Einstufen geschrieben. Siehe auch meinen Debattenbeitrag “Was interessieren mich die Daten meiner Freunde? – Die Post-Privacy-Kollateralschäden“.

UPDATE II: Apple hat bereits reagiert.

English summary: The foursquare iPhone App (current version) sends e-mail addresses and phone numbers, stored in the iPhone addressbook, to foursquare.com. This happens after you have registered a new account. There is no message dialog and you are not able to stop that process. After reading this tweet, I’ve set up an ssl proxy on my MacBook Pro and you can find some sceenshots above. The first one shows the data packages needed to submit the new registration. Subsequently, the app sends additional data packages (HTTP POST over SSL) containing phone numbers (see screenshot #2) and e-mail data (#3). The response (#4) contains information whether an e-mail address or a phone number belongs to an existing foursquare user or is “unmatched”. Apple has to revise their privacy requirements for app developers (you should see a confirmation dialog before an app can access your address book)! 

22 Antworten
  1. Christian
    Christian says:

    Kein Foursquare Problem bzw. 4sq und Path sind nicht die einzigen Kandidaten… Weiger ein Problem der Apps sondern der Plattform, auf der sie laufen… Das Problem ist viel mehr iOS.

    Antworten
  2. Norbert
    Norbert says:

    Ist es von der Sache her nicht so, dass alle Socialnetworks ihren Nutzern Vorschläge zu anderen Nutzern machen wollen. Wo sollen also die möglichst sinnigen Inhalte dazu herkommen?
    Eben, aus den Bekannten/Freundes/Familienkreis des Nutzers und somit aus dessen Kontaktverzeichnis. Der Abgleich erfolgt dann auf den Servern des Anbieters und dieser sendet dann die vermeintlichen Vorschläge an die mobilen Geräte zurück.
    Das gefährliche daran ist doch die Heimlichkeit mit der diese Daten abgezogen werden und die fehlende Aussage was sonst mit diesen Daten geschieht nachdem der Abgleich erfolgt ist.
    Ein Zustimmung durch den Nutzer sollte es schon durch das OS geben, da es kein reine iOS Problem ist.

    Antworten
    • Alex
      Alex says:

      Die Übermittlung sollte aber
      – mit Zustimmung
      – gehasht (nach normalisierung)
      erfolgen, dann gibt es auch kein Datenschutzproblem.

      Antworten
  3. Sebastian
    Sebastian says:

    Das Problem ist nicht iOS, das Problem ist der Mensch.
    Smartphone? Nein danke, bin selber smart genug.
    Oder neuerdings vielleicht: Da bin ich zu smart für.

    Ohne die Möglichkeit, ein quelloffenes Betriebssystem zu installieren (um wirklich sicher sein zu können), ist das alles hinfällig.

    Antworten
  4. Sugel
    Sugel says:

    Zu guter letzt möchte ich noch kurz darauf eingehen was langjährige Apple bzw. iOS Nutzer bedenken sollten, bevor sie sich das Nexus 7 bestellen. Stellt Google nämlich die verbreitetsten seiner Services auch für iOS Geräte wie den iPod Touch, das iPhone und das iPad zur Verfügung, gilt dies im umgekehrten Fall nicht. Nutzer von Apples Geräten müssen bei der Nutzung des Nexus 7 daher auf einige gewohnte Apple Services aus iOS 5 wie u.a. iMessage, Erinnerungen, Notizen, Safari, FaceTime, Find Friends, iTunes (Match), iBooks, Podcasts, alle iWork und iLife Apps und auch weitere Apps von einiger Drittanbieter wie z.B. Tweetbot oder derzeit auch noch Pinterest verzichten. Ich persönlich war von einigen Services des Nexus 7 angetan, konnte mich aber auch nach Tagen nicht so richtig damit anfreunden. Android Jelly Bean ist wirklich flüssiger denn je und auch hinsichtlich der App-Verfügbarkeit hat sich so einiges im Play Store getan. Web hingegen aber Apples Detailverliebtheit und Design gefällt und auf die oben genannte Apps nur ungern verzichten möchte, wird mit Android, ganz egal ob Nexus 7 oder ein anderes Android Gerät, auf lange Sicht nicht sehr glücklich werden. Für alle anderen heißt es sich noch ein wenig gedulden, bis das Nexus auch in Deutschland verfügbar ist.

    Antworten

Trackbacks & Pingbacks

  1. […] Henning Tillmann: Datenschutz Mega-GAU: Foursquare versendet ungefragt E-Mail-Adressen und Telefonnummern (via […]

  2. […] 30:02 Julia Probst bloggt Augenschmaus und ist Bloggermädchen 2011 43:26 Immer mehr Apps (Twitter, Forsquare) laden Adressbücher hoch, Apple reagiert, Kritik an der Reaktion (#57, bei 20:13) 49:56 Herbert […]

  3. […] eins… Immer mehr Apps (Twitter, Forsquare) laden Adressbücher hoch, Apple reagiert, Kritik an der Reaktion (#57, bei […]

  4. […] as the Major of XXX” – bahhhh hab ich das gefressen. Naja um so interessanter sind die Enthüllungen im Blog von hennig-tillmann.de, dass Foursquare  auch zu der Sorte von Apps gehört, die euer Adressbuch (neben dem Fratzenbuch) […]

  5. […] einem Hinweis von Paul Haddad hat Henning Tillmann mal recherchiert und den Nachweis veröffentlicht: Nach der Anmeldung werden weitere Daten an den Server geschickt, ohne, dass der Nutzer gefragt […]

  6. […] abzubrechen. Anders sieht es bei den Social Networks Path und Foursquare aus. Wie ich in meinem gestrigen Blogpost mit „Beweisfotos“ geschildert habe, überträgt Foursquare im Hintergrund ohne jegliche Nachfrage oder Warnmeldung E-Mail-Adressen und […]

  7. […] Laut henning-tillmann.de sendet die aktuelle Foursquare-App bei der Anmeldung eines neuen Accounts sämtliche Telefonnummern und E-Mail-Adressen automatisch und ohne Nachfrage aus dem Adressbuch an Foursquare-Server. […]

  8. […] Version. Ob die Daten möglicherweise auch in vorigen Versionen verschickt wurden ist unklar. zum Artikel Posted in Datenschutz Tags: Apple, Datenschutz, Foursquare, iPhone « Abmahnung: Waldorf […]

  9. […] Datenschutz Mega-GAU: Foursquare versendet ungefragt E-Mail-Adressen und Telefonnummern – henning-tillmann.de […]

  10. […] versendet ungefragt E-Mail-Adressen und TelefonnummernRené Hesse 15. Februar 2012Wie Henning Tillmann aktuell in seinem Blog berichtet, hat er durch eine Protokollanalyse der Foursquare iOS-App, […]

  11. Quora sagt:

    How should Apple react to the latest privacy issues created by Path and Foursquare?…

    Scroll down the page for an English summary: http://www.henning-tillmann.de/2012/02/datenschutz-mega-gau-foursquare-versendet-ungefragt-e-mail-adressen-und-telefonnummern/…

  12. […] so ein Datensammler: Foursquare lässt sich von seiner Äpp fürs Wischofon das komplette Adressbuch einschließlich Mail…. Natürlich ohne Frage oder Hinweis, es will schließlich jeder einem Unternehmen mit fragwürdigen […]

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über ihren Beitrag!

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>