App-Entwickler wollen immer gerne wissen, wie Nutzer ihre Programme verwenden. Dazu werden sogenannte Telemetrie-Daten erfasst, die beispielsweise helfen sollen, die Menüführung zu optimieren. Doch einige populäre iPhone-Apps erfassen nicht nur, wann und wie oft der Nutzer auf irgendwelche Buttons gedrückt hat. Sie nehmen gleich den ganzen Bildschirm auf, berichtet Techcrunch.

Es sind etwa die Apps der Modekette Abercrombie & Fitch, Hotels.com oder verschiedener Airlines, die eine Funktion namens "Session Replay" mitbringen. Entwickelt wurde sie von einer Firma namens Glassbox, die sich auf Telemetrielösungen spezialisiert hat.

App filmt mit

Session Replay ist in der Lage, einen Screenshot aufzunehmen, wenn etwa eine Schaltfläche betätigt wird. Die Aufnahmen werden an die Entwickler der App weiter geleitet. Aktive Information an den User gibt es nicht, oft überhaupt nirgendwo vermerkt, dass die Glassbox-Software "mitliest".

Freilich gibt es Vorkehrungen, die verhindern sollen, dass auf diesem Wege sensible Daten – etwa Zahlungsinformationen – übermittelt werden. Eingabefelder für Kreditkartendaten werden etwa mit schwarzen Balken überlagert. Doch wie der Sicherheitsexperte App Analyst herausgefunden hat, funktioniert das manchmal nicht und es wird ein unzensierter Screenshot verschickt. Somit sind etwa Angestellte von Air Canada und alle anderen mit Zugriff auf die Screenshot-Datenbank in der Lage, Kreditkartendaten von Kunden einzusehen.

Wohin die Screenshots verschickt werden, ist unterschiedlich. Während manche App-Entwickler sie direkt erhalten, werden sie in anderen Fällen an Glassbox übermittelt. In manchen Fällen gehen sie sowohl an Glassbox, als auch an das jeweilige Unternehmen.

Wortkarge App-Hersteller

Mehrere befragte Firmen hielten nur knapp fest, dass die Funktion der Verbesserung des Nutzererlebnisses diene und im Einklang mit den jeweiligen Privatsphäre-Richtlinien stehe. Eine explizite Erwähnung von Session Replay fand sich dort aber in keinem Fall. Glassbox verpflichtet seine Kunden diesbezüglich auch nicht zu Transparenz. Auch andere Telemetrie-Dienste für Apps bieten Funktionen in der Art von Session Replay.

Apple droht mit Rauswurf

Bei Apple haben die Berichte die Alarmglocken schrillen lassen, schreibt The Verge. Man droht den App-Entwicklern mit drastischen Schritten. Sie stehen vor der Wahl, die Verwendung solcher Features entweder gegenüber den Nutzern kenntlich zu machen, oder sie aus ihren Programmen zu entfernen. Andernfalls drohen Strafmaßnahmen, inklusive der sofortigen Entfernung der Apps aus dem iTunes-Store.

Dabei verweist man auch auf die eigenen Richtlinien, die die geheime Verwendung von Tools wie Session Replay verbieten. Nutzer müssten explizit in solche Aufnahmen einwilligen, zudem sei eine "klare visuelle Kennzeichnung" notwendig, wenn Nutzeraktivitäten aufgezeichnet werden.

Unklar ist, ob die Session Replay-Aufzeichnungen auch Nutzer der Apps in Europa betreffen. Die Aufnahme und Übermittlung von Screenshots ohne expliziter Einwilligung stellt potenziell einen Verstoß gegen die Datenschutzgrundverordnung dar. (red, 09.02.2019)