Google Play Store: Fehler im System übermittelt Kundendaten an Entwickler

Geschrieben von

Der Google Play Store ist die erste Anlaufstelle wenn es um das Thema Apps, Musik, Bücher und Filme für Android-Geräte geht. Schließlich ist der Google Play Store auf den meisten Androiden vorinstalliert und bietet mit die größte Auswahl an genannten Medien. Einzig in Sachen Bezahlmethoden sollte Google schleunigst etwas ändern und bei der Gelegenheit gleich noch einen Fehler im System aus der Welt schaffen.

Denn fast schon aus purem Zufall hat der australische Entwickler Dan Nolan bemerkt, dass der Play Store von Google die Daten von kaufwilligen Kunden an ihn geschickt hat, ohne dass er je danach gefragt hätte. Laut Nolan seien die übermittelten Daten ausreichend genug, um “Verfasser negativer Kritiken aufzuspüren und zu bedrängen”. Dass die Kunden nichts von der Datenweitergabe erfahren ist da eigentlich fast Nebensache, auch wenn laut Datenschutzbestimmungen die ausdrückliche Zustimmung des Kunden notwendig ist. In den Datenschutzbestimmungen listet Google immerhin Situationen auf, in denen die Weitergabe der Kundendaten notwendig wird.

Zwar haben Entwickler über das Entwickler-Dashboard im Play Store Zugriff auf eMail-Adressen und weitere Kunden-bezogene Daten aber die Nutzungsbestimmungen für Entwickler zur Nutzung des Google Play Store untersagen die Zweckentfremdung dieser Daten, siehe Punkt 4.3:

4.3 Sie verpflichten sich, beim Vertrieb von Produkten über Android Market die Datenschutzrechte und anderen gesetzlich verankerten Rechte von Nutzern zu achten. Wenn Nutzer Ihnen Nutzernamen, Passwörter oder andere Anmeldeinformationen bereitstellen oder wenn Ihr Produkt auf diese Informationen zugreift und sie verwendet, müssen Sie die Nutzer darauf hinweisen, dass Ihr Produkt auf diese Informationen zugreift. Sie sind zudem verpflichtet, den betreffenden Nutzern rechtlich einwandfreie Datenschutzhinweise sowie einen entsprechenden Schutz zu bieten. Weiterhin darf Ihr Produkt diese Informationen nur zu den begrenzten Zwecken verwenden, denen der Nutzer zugestimmt hat. Wenn Ihr Produkt von Nutzern bereitgestellte persönliche oder sensible Daten speichert, muss dies auf eine sichere Art und Weise geschehen. Die Daten dürfen nur so lange wie nötig gespeichert werden. Wenn der Nutzer jedoch eine separate Vereinbarung mit Ihnen geschlossen hat, nach der persönliche oder sensible Informationen, die direkt mit Ihrem Produkt (andere Produkte oder Anwendungen sind hiervon ausgeschlossen) verknüpft sind, von Ihnen oder Ihrem Produkt gespeichert werden dürfen, unterliegt Ihre Verwendung dieser Informationen der betreffenden Vereinbarung. Sollte der Nutzer in Ihr Produkt Google Konto-Informationen einbringen, darf Ihr Produkt diese Informationen ausschließlich dazu verwenden, um auf das Google-Konto des Nutzers für die begrenzten Zwecke, für die Ihnen der Nutzer die Erlaubnis erteilt hat, zuzugreifen.

Verstößt man als Entwickler gegen diese Richtlinien, kann das eine Sperrung des Entwickler-Accounts für den Play Store nach sich ziehen. Vernünftige Entwickler werden sich tunlichst zurückhalten mit der Zweckentfremdung der einsehbaren Kundendaten aber schwarze Schafe gibt es auch immer wieder. Nur bleibt die Frage, ob der Sachverhalt nun wirklich eine Sicherheitslücke ist. Laut Entwickler Barry Schwartz von Marketingland.com ist das allerdings nicht so schlimm, wie es in den Augen von Daten-sensiblen Nutzern zunächst erscheint.

Denn im Play Store von Google ist das Verhältnis zwischen Entwickler und Kunden ein anderes als in der Welt von iOS, da Kunden von Android-Apps direkt beim Entwickler kaufen können via Google Wallet, während im iTunes Store grundsätzlich Apple als Verkäufer auftritt. Man kann das ganz gut mit einem Kaufvorgang bei eBay über den Bezahldienst PayPal vergleichen. Auch hier werden für den Kaufvorgang die Daten des Kunden wie Anschrift und eMail-Adresse übermittelt, obwohl diese eigentlich nicht notwendig für den Bezahlvorgang sind. Die im Entwickler-Dashboard einsehbaren Daten sind also lediglich ein Mitbringsel von Google Wallet, einem von Google bereitgestellten Tool zur Bezahlung von Inhalten.

Die vermeintliche Lücke ist also als solche nicht allzu schwerwiegend, obwohl das Risiko der Verfolgung besteht. Gerade bei in den Augen des Entwicklers übermäßig schlechten App-Bewertungen könnte das bekannte “Ich weiß wo dein Haus steht” rausgeholt werden. Ob das nun also tatsächlich eine ernst zu nehmende Lücke in der Sicherheit der Kundendaten ist, bleibt wohl jedem selbst überlassen. Schließlich ist das nur durch einen Entwickler publik geworden, der vorher nicht mit dem für Android gebräuchlichen System zu tun hatte und verständlicherweise erstmal ziemlich überrascht dadurch war. Deshalb mal an euch die Frage: Seht ihr das als Sicherheitsproblem an oder seid auch ihr der Meinung, dass die Sache vielleicht doch nicht so aufgebauscht werden sollte?

[Quelle: Dan Nolan | via ZDNet & SmartDroid]

The following two tabs change content below.

Stefan

Stellvertretender Chef-Redakteur
Student mit Faible für Smartphones und Tablets jeder Plattform, doch eindeutig bekennender Androidliebhaber.

2 Kommentare

  1. My2Cent schreibt:

    Lücke? Nach deutschem Recht muss ich meinen Vertragspartner kennen und identifizieren, alleine für die Steuer. Und eine Lücke, wenn genau die Daten in Wallet angezeigt werden, hier wird nix zufällig angezeigt, keine Lücke, das gehört zum System. Es handelt sich um Name, PLZ, Ort, Land und E-Mail, nichts mehr! Keine Straße z.B. wie häufig behauptet wird.

  2. Pingback: -Daily short Top 5- | anDROID NEWS & TV

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>


138 Abfragen in 1,136 Sekunden