Schummelei mit Entwicklerzertifikat: Auch Google setzte Schnüffel-App ein

Das Abschnorcheln von Netzwerkverkehr und App-Nutzung auf iPhones, zwar mit Zustimmung der Nutzer, aber unter Umgehung von Apples Richtlinien, ist offenbar keine exklusive Spezialität von Facebook. Auch Google hat am App Store vorbei "Marktforschung" betrieben - und zwar ebenfalls durch den Einsatz eines Entwicklerzertifikats für den internen Gebrauch in Unternehmen.


Ähnlich wie Facebooks "Research"-App
Die App "Screenwise Meter", die der Suchmaschinenriese seit 2012 einsetzte, arbeitete ähnlich wie Facebooks Anwendung "Research", über die MacTechNews gestern berichtete. Sie wurde nicht über den App Store verteilt, sondern unter Einsatz eines auf Google ausgestellten "Enterprise Certificate" auf den iPhones von Nutzern installiert, die sich am Analyseprojekt des Unternehmens beteiligen wollten. Als Gegenleistung gab es Geschenkgutscheine für die Teilnehmer, die zunächst mindestens 13 Jahre, später dann 18 Jahre alt sein mussten.


Mit "Screenwise Meter" analysierte Google das Nutzerverhalten.
Bild: Google

Analyse des Nutzerverhaltens
Auf den iPhones sammelte Google dann unter anderem Daten zur Nutzung des Geräts und analysierte den Netzwerkverkehr. Wie TechCrunch berichtet, informierte das Unternehmen die Teilnehmer an seinem "Cross Media Panel" und dem "Opinion Rewards Program" im Unterschied zu Facebook allerdings wesentlich genauer darüber, welche Daten gesammelt und übermittelt wurden.

Mittlerweile auf allen iPhones deaktiviert
Google hat mittlerweile die App "Screenwise Meter" auf allen iPhones und iPads deaktiviert, sie kann auf diesen Geräten auch nicht mehr installiert werden. In einer Stellungnahme erklärt der Konzern, mit der Verwendung des Entwicklerzertifikats habe man einen Fehler begangen, für den man sich entschuldige. Der Suchmaschinengigant betont allerdings, dass die App zu keinem Zeitpunkt auf verschlüsselte Informationen in anderen Apps oder auf dem Gerät habe zugreifen können.

Verstoß gegen Richtlinien könnte Konsequenzen haben
Der Verstoß gegen Apples Richtlinien für Entwickler, den ein derartiger Einsatz des Entwicklerzertifikats darstellt, könnte für Google durchaus Konsequenzen nach sich ziehen. Ob Cupertino das Fehlverhalten so drastisch bestraft wie im Facebook-Fall, in dem das Unternehmenszertifikat komplett widerrufen wurde, bleibt abzuwarten. Eine Stellungnahme des iPhone-Herstellers liegt bislang nicht vor.

Kommentare

MLOS31.01.19 12:36
Wie ist es üerhaupt möglich, E2EE mitzulesen, auch wenn man sich in einem VPN befindet, das alles analysiert?
"Es ist ein unerwarteter Fehler aufgetreten" - Welche Fehler wurden denn erwartet?
0
sierkb31.01.19 12:37
Will Strafach, der ursprüngl. Entdecker bzgl. des Facebook-Falls dazu bisher:
Will Strafach via Twitter, 30.01.2019

Google is correct, there does not appear to be any Root Certificate install for their app. pretty substantial difference. I also notice a phrase completely absent from Facebook’s replies: “We apologize”

I am reserving judgement. seems a tad creepy but at least way more honest. idk. I like to reverse engineer because that would let me judge based on straightforward facts.

there are allegations that Google has engaged in similar behavior. I could believe it, but since the alleged IPA file is not publicly available on an unauthenticated server (unlike Facebook’s), I have not been able to reverse engineer it and actually verify what is happening.
Q:
-2
nacho
nacho31.01.19 12:42
Wenn man sich eine solche App installiert, wird man wohl wissen was das zu bedeuten hat!
Ich verstehe ehrlich gesagt die Aufregung nicht!
-2
MäcFlei
MäcFlei31.01.19 12:51
Na, die Aufregung ist wohl deshalb, weil man als Apple-User davon ausgeht, dass die iPhones Vertraulichkeit bieten. Und nu steht das in Frage. Aber die Welle ist wahrscheinlich auch nur deshalb, weil ungeachtet des kompletten Szenarios erstmal in den Medien ne Meldung mit Schlagzeile rausgehauen wird, um dann im Text zu erfahren, dass es alles doch nicht so verbreitet ist und der User dafür selbst seinen Datenschutz untergraben musste.

Spannend wird es dadurch, wenn Facebook und Google die Richtliinien Apples nicht eingehalten haben.
-3
sierkb31.01.19 13:14
The Register (04.01.2019): Security: Stormy times ahead for IBM-owned Weather Channel app: LA sues over location data slurp
'Privacy in the digital age is one of the most fundamental issues' says city attorney
[…]
The complaint alleges that the Weather Channel app has collected detailed location data on app users for years and that the Weather Company has analyzed and/or transferred the data to third parties for targeted advertising and to help hedge funds understand consumer behavior.

It contends that one of IBM's primary reasons for buying the Weather Company was to profit from this data. And it says that TWC intentionally hides the fact that it shares location data in its lengthy privacy policy because the company recognizes many users would object to such data sharing if they knew of it.
[…]

CNBC (04.01.2019): The Weather Channel app sued over claims it sold location data
The Los Angeles City Attorney’s office issued a cloudy forecast with the possibility of civil penalties for the popular Weather Channel app Friday.

Und Apples eigene Wetter-App , immerhin fester Bestandteil von iOS bzw. jedem ausgelieferten iOS-Gerät? Basiert auf The Weather Channel bzw. ist von denen. Wann schmeißt Apple seine eigene Wetter App aus iOS raus bzw. beendet die Zusammenarbeit mit IBM/The Weather Channel, weil The Weather Channel die über seine Apps und APIs eingefangenen Location-Daten/Nutzerdaten offenbar weiterverkauft und das gerade gerichtsfest festgestellt wurde?

Nicht zum ersten Mal so ein Fall:

Medium, Will Strafach (21.08.2017): Advisory: AccuWeather iOS app sends location information to data monetization firm
0
eastmac31.01.19 14:28
Betrifft also 0.01% der Nutzer oder?
0
eastmac31.01.19 14:30
MäcFlei
Na, die Aufregung ist wohl deshalb, weil man als Apple-User davon ausgeht, dass die iPhones Vertraulichkeit bieten. Und nu steht das in Frage. Aber die Welle ist wahrscheinlich auch nur deshalb, weil ungeachtet des kompletten Szenarios erstmal in den Medien ne Meldung mit Schlagzeile rausgehauen wird, um dann im Text zu erfahren, dass es alles doch nicht so verbreitet ist und der User dafür selbst seinen Datenschutz untergraben musste.

Spannend wird es dadurch, wenn Facebook und Google die Richtliinien Apples nicht eingehalten haben.


"Sie wurde nicht über den App Store verteilt, sondern unter Einsatz eines auf Google ausgestellten "Enterprise Certificate" auf den iPhones von Nutzern installiert, die sich am Analyseprojekt des Unternehmens beteiligen wollten." Also musste es mit wissen des Nutzers installiert werden und nicht heimlich still und leise.
+2
Tekl
Tekl31.01.19 15:22
Ob sich Jugendliche der Tragweite so einer App im Klaren sind, bezweifle ich. Zumal ich jetzt auch nicht wieß, wie klar kommuniziert wurde, was die Apps tun und worauf sie über den üblichen Maßen Zugriff haben. Ich gehe mal zumindest von Verharmlosung aus, denn dass es überhaupt einen Gegenwert gab, zeugt ja davon, dass den Entwicklern klar, dass deren Vorgehen nicht koscher ist. Sonst hätte sich das wohl keiner installiert.
+1
aMacUser
aMacUser31.01.19 15:40
nacho
Wenn man sich eine solche App installiert, wird man wohl wissen was das zu bedeuten hat!
Ich verstehe ehrlich gesagt die Aufregung nicht!
Der Otto-Normaluser versteht das eben nicht, das ist das Problem. Wer keine Ahnung von der Materie hat versteht nur "ein paar Daten mitlesen" und "bekommst Geld dafür". Mal abgesehen davon, dass ein Otto-Normaluser (und vermutlich auch die meisten IT-Menschen) noch nie eine Datenschutzerklärung von innen gesehen haben, wer ließt das denn schon? Dazu kommt ja noch, dass sowohl Facebook als auch Google wohl nicht komplett beschrieben haben, was sie alles abgreifen.
Und dazu kommt ja noch, dass beide einen nicht legalen Weg genommen haben, diese Apps an den User zu verteilen, weil sie wussten, dass es offiziell nicht erlaubt ist.
0
aMacUser
aMacUser31.01.19 15:43
MLOS
Wie ist es üerhaupt möglich, E2EE mitzulesen, auch wenn man sich in einem VPN befindet, das alles analysiert?
Bei der Ende-zu-Ende Verschlüsselung hilft das VPN allein nichts, da hast du recht. Dafür ist das Root-Zertifikat verantwortlich, wodurch eine App wohl direkten Zugang zu sämtlichen System-Bereichen bekommen kann. Wie genau das funktioniert, weiß ich allerdings auch nicht.
0
Duke97
Duke9731.01.19 16:01
Nicht legal ist nicht ganz passend fuer 'nicht dem Vertrag fuer eine Enterprise Lizenz entsprechend'.

Das Problem ist nach meiner Beobachtung zum grossen Teil auch dass viele iPhone Nutzer - und Eltern von iPhone Kiddies - meinen das iOS keinen Sideload zulaesst, im Gegensatz zu Android.
Aber der Unterschied ist nur dass man bei Android alles vom Installer installieren kann, bei iOS muss es mit einer Enterprise Lizenz signiert sein.
0
aMacUser
aMacUser31.01.19 17:12
Duke97
Das Problem ist nach meiner Beobachtung zum grossen Teil auch dass viele iPhone Nutzer - und Eltern von iPhone Kiddies - meinen das iOS keinen Sideload zulaesst, im Gegensatz zu Android.
Aber der Unterschied ist nur dass man bei Android alles vom Installer installieren kann, bei iOS muss es mit einer Enterprise Lizenz signiert sein.
Wobei die Nutzung von Enterprise-Zertifikaten außerhalb eines Unternehmens nicht erlaubt ist nach den Nutzungsbedingungen. Also wenn sich die Firmen da dran halten würden, gäbe es tatsächlich keinen "Sideload". Deswegen zieht Apple ja auch entsprechende Zertifikate zurück, wenn Apps damit außerhalb des Unternehmens verbreitet werden (auch wenn Apple da je nach Unternehmensgröße gerne mal etwas zögert)
0
sierkb31.01.19 17:29
aMacUser:

Und warum zögert Apple da? Weil Geld fließt, Apple von solchen Unternehmen durchaus nicht kleine Summen bekommt, dafür, dass sie das dürfen bzw. Zugriff bzw. teilweise exklusiven Zugriff/Priviligien haben. Apple weiß also sehr genau, was die da jeweils tun. Und akzeptiert und duldet es. Wie in vielen anderen Fällen ebenso. Sie akzeptieren und dulden es, profitieren von diesem gegenseitigen Gegen und Nehmen, profitieren davon, dass andere mit dem Datenreichtum, den sie auf diese Weise mit Apples Mithilfe und Zutun bekommen und mehren, indem sie mindestens sich ihre Duldung und ihr Wegschauen und das Bereitstellen ihrer Plattform für solche Zwecke versilbern lassen. Bei Uber damals ganz genauso geschehen, da war Uber sogar offen beworbener Premium-Kunde, kurz bevor deren Skandal offenbar wurde. Und diversen anderen Location Data-Missbräuchen.
0
Marcel Bresink01.02.19 09:28
nacho
Wenn man sich eine solche App installiert, wird man wohl wissen was das zu bedeuten hat! Ich verstehe ehrlich gesagt die Aufregung nicht!

Die Aufregung ist deshalb so hoch, weil damit das gesamte Konzept des App Store in Frage gestellt wird.

Wenn man eine iOS-App verteilen will, die gegen Apples Richtlinien verstößt, baut man einfach seinen eigenen App Store auf, indem man dazu ein Sicherheitszertifikat missbraucht, dass eigentlich nur von den eigenen Mitarbeitern und von Betatestern genutzt werden darf.

Inzwischen hat Apple aber auch Googles Enterprise-Zertifikat gesperrt.
+2
aMacUser
aMacUser01.02.19 09:51
sierkb da das nichts als Mutmaßungen sind, für die es meines Wissens nach nicht einen stichhaltigen Beweis gibt, lasse ich das jetzt mal so stehen (und "das weiß doch jeder" war noch nie ein gutes Argument). Jedem seine eigene Verschwörungstheorie.
+1
sierkb01.02.19 10:47
aMacUser
sierkb da das nichts als Mutmaßungen sind, für die es meines Wissens nach nicht einen stichhaltigen Beweis gibt, lasse ich das jetzt mal so stehen (und "das weiß doch jeder" war noch nie ein gutes Argument). Jedem seine eigene Verschwörungstheorie.

Nein, da sind keine Mutmaßungen drin, sondern das sind allseits bekannte Fakten, über die auch bereit berichtet wurde und Apple es sogar auch offen dokumentiert, diese Partnerschaften mit diesen Firmen, Apple hat sehr hohe Einnahmen durch diese Partnerschaften und verteidigt sie sogar offen, wenn sie unter Kritik geraten bzw. infragegestellt werden. Das Ganze ist ein wechselseitiges Geschäft. Und genau das ist Apple bzw. seinen Aktionären offenbar am Wichtigsten: Money – Hauptsache, der Rubel rollt. Erlaubt ist, was Kohle bringt, und dann nimmt man es mit bestimmten Maßstäben, besonders, wenn man sie an sich selber anlegen soll, nicht mehr ganz so genau bzw. misst da auch gerne mal mit zweierlei Maß (siehe Uber, siehe China etc.) und ist scheinheilig. Moral kommt erst danach.

Update der Geschehnisse:
Inzwischen haben sowohl Facebook als auch Google ihre Zertifikate wieder und können wieder arbeiten und entwickeln. Man braucht sich halt gegenseitig. MTN berichtet.
0
Pixelmeister01.02.19 13:31
sierkb
Inzwischen haben sowohl Facebook als auch Google ihre Zertifikate wieder und können wieder arbeiten und entwickeln.
Natürlich haben die die wieder. Ohne Zertifikat könnten die nicht einmal mehr ihre normalen Apps im Store aktualisieren.

Man sollte die Kirche im Dorf lassen. Dass Apple auf diese Partner angewiesen ist, ist Tatsache und gleichzeitig schade. Ohne Facebook-App (oder WeChat) auf dem iPhone könnte Apple den Laden auch gleich zumachen.

Trotzdem ist beim iPhone Apple als Torwächter wenigstens noch eine kleine Zwischeninstanz. Auf Android-Geräten kann Google (und in China halt der Staat) quasi alles machen ohne irgendwen zu fragen, da müssen die die Schnüffelapps noch nicht einmal unter Umgehung des Stores unters (Android-) Volk bringen.

Lieber ein bisschen Schutz als gar keiner. Dass bei Apple nicht alles rund läuft, ist schade und Mist – aber immer noch besser als die derzeitigen Alternativen. Und auch das ist schade.
-1
aMacUser
aMacUser01.02.19 23:53
sierkb "Partnerschaft" und "absichtliches Erlauben von nicht regelkonformem Verhalten" sind zwei verschiedene Dinge. Ja, es ist gut möglich, dass Apple bei den großen etwas nachlässiger ist, aber direkt eine ganze Verschwörung draus abzuleiten?
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen