Wer sich eine iPhone-App installiert, vertraut dem Entwickler einige Nutzerdaten an – bewusst oder unbewusst. Dass einige Anbieter diese verwenden, um Geld mit Profilerstellungen zu Marketingzwecken zu erstellen, ist ein unrühmliches, aber bekanntes Detail. Eine Untersuchung des Sicherheitsanalysten Covertlabs offenbart zudem, dass einige App-Entwickler die zusammengetragenen persönlichen Informationen vollkommen unzureichend absichern: Bei knapp 200 Apps konnten sie anwenderbezogene Daten aus Cloud-Speichern und Online-Datenbanken extrahieren – darunter Namen, E-Mail-Adressen und Handynummern. Um darauf aufmerksam zu machen, setzten sie eine Website auf, welche Apples App Store ähnelt. Doch anstatt der beliebtesten Apps versammeln die Ranglisten die schlimmsten Datenschleudern.


Insgesamt 191 Apps listet das Portal auf, von denen 189 ihre Daten in unzureichend gesicherten Datenspeichern ablegen. In den Top 10 finden sich LLM-basierte Bild- und Song-Erzeuger, eine Dating-App, ein Ausmalbuch sowie KI-Chat-Apps etwa für Lebensberatung oder als Partnersimulation. Auch eine koreanische Lern-App befindet sich darunter. Sie richtet sich an Schülerinnen und Schüler – 9,3 Millionen Nutzerkonten offenbart die unzureichend genutzte Datenbank.


E-Mail-Adresse, Handynummer, Prompts
Wie schwerwiegend die einzelnen Datenlecks sind, ist unterschiedlich: Eine App zur Bildverbesserung (für bessere Selfies) speichert unter anderem E-Mail-Adresse und Handynummer ihrer knapp 1 Mio. Nutzer in einer Datenbank, auf die das Sicherheitsunternehmen CovertLabs mit einfachen Mitteln Zugriff erhielt. Andere Apps sichern die Nutzereingaben (Prompts), mit welchen sie Bilder, Songs und Texte erzeugen wollen. Die Resultate sind teilweise ähnlich peinlich wie Chat-Transkripte der KI-gestützten Partnersimulationen – glücklicherweise beschränkt CovertLabs die Exponate auf wenige unverfängliche Einträge und hat allzu Persönliches entfernt.


Vertrauensbruch oder schon rechtswidrig?
Das Anlegen und Aufbewahren intimer Details in unzureichend geschützten Cloud-Speichern und Datenbanken dürfte sich nicht nur als Kavaliersdelikt herausstellen. In vielen Ländern, unter anderem der EU, sind Dienstleister verpflichtet, personenbezogene Details besonders zu schützen und einen unerlaubten Zugriff allen Nutzern zeitnah mitzuteilen. Bei den Beispielen dieser Sammlung stellt sich schon im Vorhinein die Frage, ob die Anbieter der präsentierten Apps überhaupt in der Lage sind, einen illegitimen Datenzugriff festzustellen. Viele der Apps sind aktuell noch im iOS App Store zu finden.