Glassbox als Blackbox: Wenn Analytics-Dienste in Apps zum unbekannten Risiko werden

Wenn Analytics-Dienste in Apps zum unbekannten Risiko werden

Wie aktuell in vielen großen Tech-Medien zu lesen ist, gerät erneut eine Analytics-Methode scharf in die Kritik, weil sie in der aktuellen Form ein eklatantes Datenschutz- und Datensicherheitsrisiko darstellt.

Was hat es mit dem in der Kritik stehenden Analytics-Dienst auf sich?

Es handelt sich um die Methode des Screen Capturing (Bildschirmaufzeichnungen) und die dabei verwendete Session-Replay-Technik. Diese wird von Analysediensten wie „Glassbox“ genutzt und darüber in diverse prominente Apps wie Expedia, Air Canada, Hotels.com oder Hollister integriert. Die Apps zeichnen in der Regel ohne vorherigen Hinweis oder Einwilligung der Nutzer deren Bildschirmaktionen und -Eingaben auf und übertragen die  hochsensiblen Daten teilweise ungeschützt an den Analytics-Anbieter – hauptsächlich zur Optimierung der Usability und Funktionalität der Apps, wie beispielsweise für Bestellvorgänge. Doch der Dienst bringt zwei eklatante Probleme mit sich:

1. In aller Regel wissen die Nutzer nichts von der Aufzeichnung und die App braucht für den Einsatz der Dienste nicht einmal die dedizierte Berechtigung. Somit bleibt das Mitschneiden vom App-Nutzer unerkannt, weil es weder über die Nutzungsbedingungen und Datenschutzbestimmungen kommuniziert noch als nötige Berechtigung der App aufgeführt wird. Hinzu kommt, dass, nach einer Studie des Deutschen Institutes für Vertrauen und Sicherheit im Internet, mehr als die Hälfte aller Anwender keine Nutzungsbedingungen lesen und sie häufig als zu lang und kompliziert empfinden.
2. Das Mitschneiden erfolgt teilweise ungesichert, sodass sensible Daten Dritten zugänglich sind. In schwerwiegenden Fällen, die bereits nachgewiesen wurden, bleiben zu schwärzende Felder bei einzelnen Übertragungen ungeschwärzt, da die automatische Detektion der schützenswerten Felder nicht zuverlässig funktioniert. Die Daten wie z.B. Kreditkarteninformationen sind somit verbrannt, wie bei Air Canada (http://theappanalyst.com/aircanada.html) bekannt wurde.

Wie kommen solche Dienste in die Apps?

In vielen Fällen bekommen weder der Nutzer noch der App-Entwickler oder -Herausgeber selbst mit, dass Analytics-Tools wie Glassbox im Einsatz sind. Sie befinden sich für den Entwickler schwer auffindbar in vorgefertigten SDKs (Software Development Kits), aus denen die Apps in aller Regel im Baukastenprinzip zusammengestellt werden. Ein solches Beispiel sind Facebook SDKs. Sobald eine App den Facebook-Connector oder anderweitige Implementierungen zur Verfügung stellt, sind sie in den Code der App eingebaut. Auch Crashreporting-Dienste wie Crashlytics können diese Technologie verwenden. Viele große App-Anbieter und Konzerne haben nun vor, ihre eigenen Apps von neutralen App Security Anbietern wie Appvisory auf die versteckte Verwendung der Analytics-Dienste überprüfen zu lassen.

Ist nur Glassbox das Problem oder gibt es weitere Anbieter?

Über den Fall Glassbox ist das Problem erstmals in der Öffentlichkeit bekannt geworden. Es gibt neben Glassbox diverse weitere Analytics-Dienste wie z.B. AppSee, UXCam oder Clicktale, die ebenfalls Screen-Capturing und Session-Replay-Technologien anbieten.

Welche Apps sind betroffen?

Eine bestätigte Liste aller Apps, die User-Auswertungen über Session-Replays betreiben, liegt bislang nicht vor. Die technische Analyse, auf der die Medienberichte bisher basieren, erstreckt sich ausschließlich auf iOS-Versionen. Es handelt sich jedoch um eine Cross-Plattform-Problematik. Android Apps werden aller Voraussicht nach ähnliche Codes der Analytics-Dienste einsetzen. Die ersten betroffenen Apps wurden eingangs im Artikel genannt – weitere werden zeitnah folgen.

Wie reagieren Apple und Google?

„Apps müssen für eine solche Datenerfassung explizit um Nutzereinwilligung bitten“ und einen „klaren visuellen Hinweis“ darauf liefern, „wenn Nutzeraktivitäten aufgezeichnet, geloggt oder anderweitig erfasst werden“, teilte ein Sprecher von Apple kürzlich gegenüber Techcrunch mit. Er bestätige, dass Apple diejenigen Entwickler, die gegen die AppStore-Datenschutzregeln verstoßen, bereits darüber informiert hat und werde „wenn nötig, sofort handeln“. Mehrere App-Anbieter seien bereits angewiesen worden, den Screen Capturing Code innerhalb eines Tages zu entfernen und ein App-Update einzureichen, sonst würde die App aus dem Store entfernt, wie Techcrunch berichtet. Google hat sich bislang nicht zu dieser Angelegenheit geäußert – das versteckte Screen-Capturing in Apps ist laut Google Play Store ebenfalls untersagt. Ob Apple nur gegen Apps mit Session-Replay-Techniken vorgeht oder die Einbettung von gängigen Analyse-SDKs – und deren Nichtnennung gegenüber dem Nutzer – allgemein prüft, bleibt unklar.

Wird er von App-Sicherheitsdiensten wie MTP oder MAM aufgespürt?

App Security Anbieter wie Appvisory arbeiten derzeit an Suchmechanismen, um zukünftig die betroffenen Apps bzw. deren Analytics-Methoden wie Screen Capturing automatisch zu identifizieren und zu melden. Die Herausforderung beim Aufspüren von Diensten wie Glassbox besteht darin, dass bisher keine eindeutigen Fingerprinting-Methoden identifiziert wurden, die eindeutig auf die Verwendung von Session-Replay-Technologien schließen lassen. Zudem werden die Analytics-Daten oft an die Server des App-Anbieters selbst übertragen, was die Erkennung in der Datenverkehrsanalyse zusätzlich erschwert. Man arbeitet jedoch mit Hochdruck an Mustererkennungen und weiteren Anhaltspunkten, um die problematischen Dienste zukünftig automatisch zu identifizieren.

Was kann ich als Anwender tun, um mich vor Screen-Capturing-Analysediensten wie Glassbox & Co. zu schützen?

Momentan ist es leider nahezu unmöglich, betroffene Apps selbst zu identifizieren, weil sich die Bildschirmaufzeichnung in den Tiefen der SDK-Codes verstecken. Momentan bleibt den Anwendern somit nur die Möglichkeit, sich über die einschlägigen Medien auf dem Laufenden zu halten. Sobald die Erkennung von Security-Anbietern wie Appvisory in iOS und Android realisiert wurde, werden entsprechende Angebote folgen.

Was können App-Anbieter tun, um sicherzugehen dass Ihre Apps im Hintergrund keine unerwünschten Datenabflüsse verursachen?

Es bleibt zu hoffen, dass App-Entwickler und ihre Auftraggeber zukünftig verstärkt darauf achten, nicht genutzte Features der verwendeten SDKs nicht nur zu deaktivieren, sondern tatsächlich aus dem Code zu entfernen. Neben dem verbesserten Schutz ihrer Kundendaten schützen sie damit auch sich selbst, indem sie der Gefahr weiterer Shitstorms und DSGVO-Verstöße aus dem Weg gehen.