Tapatalk-Plug-in liest Daten von Forennutzern aus
Wie die Administratoren des HardwareLuxx-Forums entdeckten, liest das Plug-in der Mobil-App die E-Mail-Adressen ihrer 200.000 Nutzer auf Anfrage aus und schickt diese an eigene Server. Tapatalk hält das Ganze für ein Versehen.
(Bild: Masahiro Takagi, CC BY 2.0)
- Fabian A. Scherschel
Viele Smartphone-Nutzer kennen Tapatalk vor allem von nervigen Werbe-Popups die einem begegnen, wenn man ein Forum auf einem Mobilgerät ansurft. Die App will Online-Foren auf Mobilgeräten besser lesbar machen und bietet Forenbetreibern Plug-ins an, die installiert werden können, um Foreninhalte entsprechend in der App zu präsentieren. Wie die Administratoren des HardwareLuxx-Forums nun feststellen mussten, macht das Plug-in allerdings viel mehr: Es liest Daten der Forenbenutzer aus und schickt diese an die Tapatalk-Server.
Unter den ausgelesenen Daten befinden sich der Forenname und die E-Mail-Adresse des Nutzers. Dabei scheint es egal zu sein, ob dieser Tapatalk jemals auf seinem Mobilgerät installiert hatte. Tapatalk nutzt diese Daten nach eigenen Angaben, um Nutzern seiner App E-Mails zu schicken und sie so über aktive Diskussionen (Trending Discussions) in Foren zu informieren. Laut Tapatalk soll dies Nutzer dazu bewegen, öfter in die entsprechenden Foren zu schauen.
Schnüffel-Funktion bei HardwareLuxx "aus Versehen" aktiviert
Gegenüber HardwareLuxx gab die Firma an, das Ganze sei ein Beta-Programm, das in den USA bereits zur großen Zufriedenheit von über 200 Forenbetreibern ausprobiert worden sei. Das HardwareLuxx-Forum mit seinen über 200.000 Nutzern sei aus Versehen in diese Beta gerutscht und die entsprechende Funktion nun deaktiviert. Man habe die E-Mail-Addressen nur zum Versenden der Trending-Discussions-Nachrichten verwendet und "niemals auf irgendwelchen Tapatalk-Servern gespeichert." Anfragen von HardwareLuxx und von heise Security zu den technischen Details dieses Vorgangs blieben bis jetzt unbeantwortet.
Es steht zu bezweifeln, dass viele Forenbetreiber, die das Tapatalk-Plug-in einsetzen, wissen, dass die Firma über diese Schnittstelle entsprechende Daten der Forennutzer zu Tausenden auslesen kann. Weiterhin ist vorstellbar, dass Forenbetreiber, die ihren Nutzern in den eigenen Geschäftsbedingungen zusichern, Daten nicht an Dritte weiterzugeben, so unbewusst gegen ihre eigenen Vorgaben verstoßen.
Abhilfe per Config-Datei
Abstellen können Admins das Verhalten des Tapatalk-Plugins über die Config-Datei mobiquo/config/config.php – hier muss der Parameter allow_trending auf 0 gesetzt werden. Diese Funktion ist momentan im Auslieferungszustand der Plug-ins aktiviert.
Update 19.06.2015 17:34 Uhr:
HardwareLuxx hatte die entsprechende Funktion des Plug-ins nach der Entdeckung durch die eigenen Systemadministratoren selbst deaktiviert – auch schon bevor Tapatalk nach eigenen Angaben die Webseite aus dem angesprochenen Beta-Programm genommen hatte. Dass die Funktion des Plug-ins von Werk aus aktiviert ist, heißt nicht zwingend, dass auch Daten kopiert werden. Wollen Admins aber unabhängig von Tapatalks Aussagen zum Beta-Programm sicherstellen, dass das Plug-in keine Daten kopiert, sollten sie diese Funktion wie beschrieben selbst deaktivieren. (fab)
