Facebook-App greift heimlich Telefonnummern ab

MarketingPolitikSoziale NetzwerkeÜberwachung
Facebook Logo (Bild: Facebook)

Sie werden beim Start der Android-App von Facebook auf einem eigenen Server “gesichert” – bereits, bevor sich Nutzer anmelden. Gefragt werden sie nicht – ebensowenig wie Anwender, die Geräte mit vorinstallierter App und ohne Facebook-Konto in Betrieb nehmen. Symantec geht davon aus, dass millionenfach Telefonnummern übertragenen wurde.

Experten von Symantec haben bemerkt, dass die Android-App von Facebook die Telefonnummern von Anwendern auf seine Server hochlädt. Das erfolgt bereits beim Start der App, noch bevor sich Nutzer anmelden. So kann gar keine Zustimmung dafür abgefragt werden. Die Telefonnummer wird auch übertragen, wenn der Anwender selbst nicht über ein Facebook-Konto verfügte und die App auf seinem Gerät vorinstalliert ist.

facebook-logo

Die Entdeckung gelang Symantec eigenen Angaben zufolge durch seine Sicherheitslösung Norton Mobile Security und ihre neue Mobile-Insight-Technik. Sie habe überraschende Einblicke vermittelt, wie weit verbreitete Apps den Schutz der Privatsphäre vernachlässigen und persönliche Informationen preisgeben. Wie bei Google Play zu ersehen, ist die Facebook-Anwendung auf mehreren hundert Millionen Geräten installiert. Ein großer Teil ist wahrscheinlich von der Gier nach Kontaktdaten des Sozialen Netzwerks betroffen.

Auf Nachfrage erklärte Facebook, man habe die Angelegenheit untersucht und werde das Problem mit der nächsten Aktualisierung von Facebook für Android beheben. Das Unternehmen beteuerte zudem, es habe die Telefonnummern weder benutzt noch verarbeitet und inzwischen von seinen Servern gelöscht. “Leider ist die Anwendung von Facebook nicht die einzige, die private Daten preisgibt, und nicht einmal die schlimmste”, kritisiert Symantec.

Google Play verzeichnet über 7,4 Millionen Downloads der Facebook-App. Darüber hinaus wurden viele Android-Smartphones mit vorinstallierten Anwendungen verkauft, die schon beim ersten Start die Telefonnummern des Nutzers übertrugen.

Vor dem Download fordert die App ungewöhnlich umfangreiche Berechtigungen an. Unter “Persönliche Informationen” verlangt sie beispielsweise, das Anrufprotokoll sowie Kontaktdaten lesen und schreiben zu dürfen. Unter “Systemtools” nimmt sie sich heraus, ausgeführte Anwendungen abzurufen und neu zu sortieren. Unter “Netzwerkkommunikation” holt es sich die Berechtigung, Dateien ohne Benachrichtigung herunterzuladen.

Erst vor einer Woche musste Facebook eine Datenpanne einräumen: Nichtöffentliche Daten waren für andere Nutzer einsehbar. Das Social Network schätzte selbst, dass rund 6 Millionen von der seit dem 2012 existierenden Schwachstelle betroffen waren. Laut Facebook kamen die so öffentlich verfügbaren Telefonnummern und E-Mail-Adressen aus einer Datenbank, die dazu diente Freundschaftsempfehlungen zu generieren.

Die Sicherheitsforscher von Packet Storm, die den Fehler an Facebook meldeten, vermuten, dass Facebook quasi Schattenprofile aller Nutzer anlegt. Diese enthielten persönliche Informationen, die die Nutzer nicht selbst mitteilten, sondern beispielsweise aus den Kontaktdaten anderer Teilnehmer gesammelt werden. So bevorrate Facebook auch persönliche Daten von Menschen, die sich ihm nicht angeschlossen haben. In einer Nachbetrachtung stellen sie außerdem fest, dass Facebook die Datenpanne herunterspielte und seine Mitglieder über ihre tatsächlich preisgegebenen Daten nur unvollständig informierte.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie Soziale Netzwerke? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen