Mobile Apps
Check Point beurteilt Voila-App: Aus Spaß kann ernst werden
Schwachstelle: die Verknüpfung von Fotos mit der ID
Von Yaniv Balmas, Head of Cyber Research bei Check Point Software Technologies
Die Anwendung Voila ist in der Lage, aus dem Foto eines Nutzers einen Zeichentrick-Avatar zu erstellen. Dieser Cartoon mag oft lustig oder süß aussehen und der Vorgang vielen Menschen Spaß machen, doch aus er Freude kann schnell Leid werden, falls die App inkorrekt mit den Nutzerdaten und deren Absicherung umgeht. Es gibt bereits Diskussionen über den Datenschutz bezüglich dieses Programms.
„Wir haben uns die Anwendung kurz angeschaut und folgende Bedenken sind zu äußern: Voila sendet die Porträts der Nutzer an seinen Server für die Verarbeitung; diese werden nicht lokal auf dem Telefon bearbeitet, wie wahrscheinlich viele Menschen denken. Im Zuge dessen vermerkt die App allerdings die besondere und zuordbare Installation-Identifikation (vdid, ID), welche unter Android-Systemen von Google Play erstellt und mit dem Smartphone des Nutzers verbunden wird."
Somit sind die Fotos an diese ID gebunden und die Gesichtsbilder der Nutzer damit identifizierbar, werden also nicht anonymisiert übertragen und bearbeitet – dies steht allerdings ehrlich in den Datenschutzbestimmungen des Unternehmens. Geschieht nun aber eine virtuelle Attacke durch irgendeine Art von Hacker-Gruppierung, liegt die Gefahr auf der Hand, denn ID und zugehöriges Foto des Gesichts können gestohlen und zu verschiedenen Zwecken missbraucht werden. Sie lockt eine große Datenbank von oft hochaufgelösten Porträts mit eindeutiger Identifikation des jeweiligen Menschen. Darüber hinaus könnte auch das Unternehmen selbst, oder eine angehängte Firma, diese Informationen für weitere Zwecke ausschlachten, die den Nutzern kaum recht sein dürften. Diesem Risiko sollten sich alle Nutzer oder Neulinge der Anwendung bewusst sein.
Gut an der Anwendung sind diese Merkmale: Sie wurde von einer registrierten und somit gesetzlich genehmigten LLP-Firma in Großbritannien geschrieben und verlangt nur das Minimum an Zugriffsrechten und Berechtigungen auf dem Smartphone, welche für die Funktionen notwendig sind. Die App stellt sicher, daß auf dem Bild nur ein Gesicht zu sehen ist, sonst nicht, und schickt erst nach dieser Bestätigung die Bilder an den Server. Die Kommunikation mit dem Server wird durch HTTPS verschlüsselt und ist somit ab Werk geschützt. Voila nutzt außerdem bekannte Open-Source-Bibliotheken für die Programmzeilen, soweit dies möglich ist. Somit lässt sich nach unserer kleinen Untersuchung zusammenfassen, daß die Entwickler der Anwendung vieles richtig gemacht haben, um die Privatsspähre und Daten der Nutzer zu schützen.
Allerdings bleibt ein großer Wermutstropfen bezüglich der Verknüpfung von Fotos mit der ID, wodurch Nutzer enttarnt werden können.