Fauler Kompromiss zwischen Datenschutz und Komfort bei Telekom-App

Tausende Telekom-Kunden haben sich schon darüber geärgert, dass man bei der Nutzung der Telekom-Hotspots immer wieder von neuem lange Zeichenfolgen mit Benutzernamen und Passwort eintippen muss. Gerade auf Smartphones ist das richtig lästig. Mehr Komfort verspricht die Telekom mit der HotSpot Login App fürs iPhone – und schießt dabei weit übers Ziel hinaus, indem sie persönliche Daten dem Zugriff durch Werbenetze freigibt.

An Komfort lässt die HotSpot Login App wirklich nichts zu wünschen übrig. Beim Antippen des Buttons "Automatic Setup" zeigt sie den Benutzernamen mit der Telefonnummer und dessen Passwort an und meldet das Gerät auf Wunsch damit auch gleich am Hotspot an. "Doch woher hat die App diese Daten?" fragte sich iOS-Experte Andreas Kurtz bei seinem Test der App. Denn nicht ohne Grund verweigert Apple normalen Apps den Zugang zur Telefonnummer des Nutzers über das iOS-API: Sie wäre ein gefundenes Fressen für all die vor allem in kostenlosen Apps einbauten Werbenetze, die sich bekanntermaßen und ohne Hemmungen an den zugänglichen Daten des Anwenders vergreifen.

Andreas Kurtz' Nachforschungen förderten zu Tage, dass die Telekom da kurzerhand einen Web-Service gebaut hat. Den kontaktiert die Login-App über die Mobilfunkverbindung – etwa via UMTS – und bekommt von der Telekom dann Benutzernamen inklusive Telefonnummer und Passwort frei Haus. Doch die bekommt damit nicht nur die Telekom-App, sondern jede App auf dem iPhone. Sie muss sich zwar mit einem "Geheimnis" ausweisen; doch nachdem das in der Login-App enthalten ist, lässt es sich dort auch ohne großen Aufwand extrahieren und bietet somit keinen echten Schutz vor Missbrauch. Letztlich muss eine neugierige App nur eine passende Anfrage an diesen Gib-mir-Passwort-und-Telefonnummer-Dienst schicken, um in den Besitz dieser Daten zu gelangen. Es ist dazu nicht einmal erforderlich, dass das Opfer die Login-App der Telekom installiert – oder auch nur von ihrer Existenz weiß. Da die Zahl der Telekom-Kunden ausreichend groß ist, um Begehrlichkeiten zu wecken, dürfte es damit nur eine Frage der Zeit sein, bis sich die großen Werbenetze an deren Telefonnummern bedienen.

Diese Gefahr sah auch Kurtz und hat die Telekom bereits im November über seine Bedenken informiert. Immerhin wäre es nur ein vergleichsweise geringer Aufwand, wenn der Anwender beim ersten Start der App diese Daten einmalig selber dort eingeben müsste. Die könnte sie dann speichern und fortan den komfortablen Auto-Login anbieten. Ein Mal Benutzername und Passwort eintippen erscheint ein geringer Preis dafür, dass man sonst womöglich Werbe-Anrufe und -SMSe in unbeschränkter Zahl bekommt. Das sieht jedoch das Sicherheits-Team der Telekom anders. Es antwortete, dass das Ausnutzen dieses Sachverhalts "besondere Expertise sowie kriminelle Energie" erfordere und Benutzbarkeit und Komfort der App unter einer Abschaltung des fraglichen Web-Dienstes deutlich leiden würden. Sprich: Da wird schon nichts passieren – na dann... (ju)