SDKs von Drittanbietern sammeln heimlich Daten von Twitter- und Facebook-Nutzern

Facebook und Twitter untersuchen einen Bericht von Sicherheitsforschern über zwei Software Development Kits (SDK) von Drittanbietern, die es App-Entwicklern ermöglicht haben sollen, ohne Autorisierung auf Nutzerdaten zuzugreifen und diese zu sammeln. Die Anbieter der SDKs weisen zwar jeden Vorsatz sowie Missbrauch von Daten von sich, stellten aber trotzdem inzwischen die fraglichen Programmierschnittstellen ein.

Twitter machte den Vorfall am Montag öffentlich. Demnach wurden Nutzer des Kurznachrichtendiensts von einem SDK der Data-Analytics-Plattform OneAudience ausspioniert. Das für Android und iOS erhältliche SDK sammelt Daten über App-Nutzer, um Entwicklern Informationen über die Nutzung ihrer Apps zu vermitteln.

Das fragliche SDK rief jedoch persönliche Daten von Twitter-Nutzern ohne deren Zustimmung und Wissen ab. Laut Twitter wurde dies jedoch nicht durch einen Fehler in Twitters eigener Software, sondern durch eine fehlende Trennung von SDKs innerhalb einer App ermöglicht.

Unter anderem wurde Daten wie E-Mail-Adressen, Nutzernamen sowie der letzte Tweet preisgegeben. Laut CNBC nutzten unter anderem die Apps Giant Square und Photofy das SDK. Wie viele Nutzer letztlich betroffen waren, teilte Twitter nicht mit. Die Datensammlung soll allerdings nur unter Android und nicht unter iOS erfolgt sein.

Facebook hatte das Problem nicht nur mit dem OneAudience-SDK, sondern auch mit einem SDK der Daten-Monetisierungs-Plattform MobiBurn. Ähnlich wie bei Twitter wurden die Nutzerdaten bei dem Versuch abgerufen, die App mit einem Konto des Social Network zu verbinden. Laut Facebook riefen Apps über das SDK Daten wie Namen, E-Mail-Adressen und Geschlecht ab.

Facebook entfernte die App inzwischen von seiner Plattform und erwirkte gegen die beiden SDK-Anbieter einstweilige Verfügungen. Sie wiederum erklärten, nicht sie seien für die unerlaubte Datensammlung verantwortlich, sondern die Entwickler der mobilen Apps, die die Daten abgerufen hätten. OneAudience erklärte, es haben die Daten weder gespeichert noch benutzt. Außerdem sei das SDK am 13. November aktualisiert worden und das Update inzwischen an alle App-Partner verteilt worden.

MobiBurn betonte, man sammle keine Daten von Facebook-Nutzern. Das Unternehmen habe auch keinen Zugriff auf irgendwelche Daten, die von einer mobilen Anwendung gesammelt würden. MobiBurn beschränke sich darauf, eine Verbindung zwischen Entwicklern mobiler Apps und den Anbietern von Daten-Monetisierung herzustellen.

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Alternative zu Maps: Huawei will TomTom nutzen

Wegen der US-Sanktionen darf Huawei keine Google-Dienste wie Maps nutzen. Als Alternative ist nun Kartenmaterial von TomTom im Gespräch.

6 Stunden ago

macOS: aptX für besseren Klang aktivieren

Standardmäßig ist der Bluetooth-Audio-Codec aptX in macOS nicht aktiv. Allerdings lässt er sich einschalten, sodass Anwender mit einem aptX-kompatiblen Gerät…

6 Stunden ago

WeLeakInfo: FBI beschlagnahmt Website für Verkauf gestohlener Daten

An den Ermittlungen sind auch Behörden aus Deutschland, den Niederlanden und Großbritannien beteiligt. WeLeakInfo ist eine kostenpflichtige Suchmaschine für Anmeldedaten.…

8 Stunden ago

EU erwägt Verbot von Gesichtserkennung an öffentlichen Plätzen

Es soll über einen Zeitraum von bis zu fünf Jahren gelten. Bis dahin will die EU Richtlinien für den Gebrauch…

10 Stunden ago

Samsung ernennt neuen Chef der Mobilsparte

Roh Tae-Moon löst DJ Koh ab. Koh bleibt jedoch CEO des Geschäftsbereichs IT & Mobile Communication. Roh war zuletzt für…

12 Stunden ago

FireEye: Hacker sichert sich exklusiven Zugang zu anfälligen Citrix-Produkten

Seine Malware löscht jegliche andere Schadsoftware auf Citrix-Geräten. Sie verhindert auch weitere Angriffe von Dritten. Die Motive des Hackers sind…

14 Stunden ago