Meitu: Populäre Foto-App ist Datenschutzrisiko

20. Jänner 2017, 10:19
6 Postings

Programm für iOS und Android will viele Rechte – Experte äußert Verdacht des Datenhandels, Entwickler dementieren

Eine chinesische App zur Transformierung von Selfies in handgezeichneten Manga-Look findet derzeit ihren Weg in den Westen. Meitu heißt das Tool, das aktuell viel Nachfrage in Apples Appstore genießt und auch auf Google Play schon über zehn Millionen Mal heruntergeladen wurde.

Doch die offensiv an Frauen vermarktete App glättet nicht nur Gesichter, um sie mit Augenvergrößerung, Kinnverschlankung und diversen Filtern zu einer Comicabbildung zu machen, sondern ist laut Wired auch ein Risiko in puncto Datenschutz.

Rechte-Sammelsurium

Dass Meitu Zugriff auf Dateien und Fotos sowie die Kamera verlangt, ist nicht erstaunlich. Beides wird benötigt, um Bilder knipsen und nach der Bearbeitung speichern zu können. Ebenso verlangt die App aber auch nach Informationen zum eigenen Standort und Rechte für die Telefoniefunktion. Damit kann sie etwa auch Informationen über die SIM-Karte einsehen kann. Unter iOS kann sie auch ermitteln, ob das Handy gejailbreakt wurde.

Diese Daten seien nicht unbedingt nötig, um die eigentlichen Funktionen von Meitu zu gewährleisten, meint dazu Sicherheitsforscher Greg Linares von Vectra Networks. Laut anderen Experten soll Meitu diverse Analysetools und Adware mitbringen, die der eigentliche Grund für die angeforderte Rechtevielfalt sein könnten.

Übermittelte Daten kaum außerhalb der Norm

Bei Meitu erklärt man hierzu vorerst nur, dass man Teil von Googles "Sand Hill"-Programms ist. Über dieses fördert der Konzern Firmen, deren Apps "virales Potenzial" haben. Eine vorläufige Analyse der iOS-Ausgabe durch den Sicherheitsfachmann Will Strafach hat ergeben, dass der Datenhunger des Programms sich zumindest derzeit allerdings innerhalb der Norm für derlei Programme bewegt.

Sie übermittelt beispielsweise die genutzte Version von iOS, das Telefonmodell, die Verbindungsart, eingestellte Sprache und die Länderkennung des Mobilfunknetzes. Über ein integriertes Analysetool eines Drittherstellers wird außerdem der Name des Netzwerkanbieters ermittelt und an diesen verschickt. Der Standort, sofern vom Nutzer freigegeben, wird auch an einen Analyseserver übermittelt – unklar ist allerdings, ob dieser von Meitu oder einem anderen Anbieter betrieben wird. Der einzige Nutzen der GPS-Abfrage in der App scheint die Einblendung lokaler Wetterdaten zu sein.

Unübliche viele Analysetools

Eine tiefergehende Auswertung gibt es noch nicht. Ein anderer Security-Experte, Jonathan Zdziarski, ist jedoch skeptisch. Während er bei einer eigenen Kurzanalyse nichts "offenkundig böses" entdecken konnte, macht ihn die Zahl der verschiedenen Ad-Tracking und Analysetools stutzig. Mindestens ein halbes Dutzend soll Meitu integriert haben. "Normalerweise braucht man nicht so viele, außer man verkauft Daten", erklärt Zdziarski.

Nutzer können sich allerdings schützen. iOS erlaubt ebenso wie Android (ab Version 6.0 "Marshmallow") ein Management der einzelnen Rechte von Apps. Wer Meitu hier möglichst an seine Kernfunktion binden möchte, sollte den Zugriff auf die Telefoniefunktion und Standort abdrehen. Auch wenn das Programm nicht problematischer zu agieren scheint, als viele andere Gratis-Apps, böte der aktuelle Hype um das Programm einen "lehrreichen Moment", um wieder einmal genauer hinzusehen, so Wired abschließend.

Meitu bestreitet Datenverkauf

Mittlerweile hat Meitu auf die Anschuldigungen ausführlicher reagiert. Gegenüber CNet erklären die Entwickler, keinen Handel mit Nutzerdaten zu betreiben. Die Trackingtools seien integriert, da man in China ansässig sei. Dort die von Apple bereitgestellten Analysetools blockiert, daher greife man auf Drittanbieter zurück, um Informationen über Nutzung und Probleme mit der App zu erhalten.

Der Google Play Store ist komplett gesperrt, daher verwende man einen alternativen Service, um Pushbenachrichtigungen auszuliefern. Die Erkennung von Jailbreaks von iPhones sei notwendig, um das Teilen von Fotos über den Messenger Wechat zu ermöglichen. Es bleitb abzuwarten, ob Meitu für internationale Märkte künftig eine Version seiner App bereitstellen wird, die um die zusätzlichen Drittanbieter-Pakete bereinigt ist. (gpi, 20.01.2017)

Update, 10:40 Uhr: Dementi von Meitu ergänzt.

  • Donald Trump nach automatischer Bearbeitung durch Meitu.
    foto: reuters/meitu

    Donald Trump nach automatischer Bearbeitung durch Meitu.

  • Neuere Versionen von iOS und Android erlauben genaueres Rechtemanagement für installierte Apps.
    foto: derstandard.at

    Neuere Versionen von iOS und Android erlauben genaueres Rechtemanagement für installierte Apps.

    Share if you care.