Session Replay: iPhone Apps zeichnen die Displays während der Nutzung auf

Für uns gehört die Datensammelwut inzwischen zur Normalität. Keiner schreit mehr auf, wenn Begriffe wie Big Data fallen. Wir nutzen Gratisangebote und zahlen dafür mit Daten – fertig. Was aber, wenn Apps auf unseren Smartphones unsere Screens und jede ausgeführte Aktion filmen? Genau das und noch mehr hat TechCrunch jetzt im Hinblick auf große iPhone Apps herausgefunden.

Imagine if your website or mobile app could see exactly what your customers do in real time, and why they did it?

„Stellen Sie sich vor, Sie könnten in Echtzeit nachvollziehen, was Ihre Kunden tun und warum sie es tun“, so twitterte der Customer Analytics-Anbieter Glassbox kürzlich sinngemäß. Dies sei nicht länger hypothetisch, sondern tatsächlich möglich. Damit wirbt der Anbieter für sein Tool. Unter anderem setzen etwa Abercrombie & Fitch, Hotels.com oder Singapore Airlines mit ihren iPhone Apps auf Glassbox und erlauben ihren Entwicklern damit die Sessions ihrer Nutzer innerhalb der App aufzuzeichnen, Session Replay nennt sich diese Methode. Grundsätzlich können Nutzer sich gegen diese Art der Datenerhebung, eine Art des Heat Mapping, nicht wehren. Jedoch ist die Erhebung mit der Auflage verbunden, sensible Daten zu maskieren, das heißt die betroffenen Bereiche unkenntlich zu machen.

The App Analyst, Mobile Experte und Blogger, hat sich die App von Air Canada diesbezüglich näher angeschaut und dabei festgestellt, dass hier keineswegs eine sichere Maskierung stattfindet, im Gegenteil: Die Daten liegen offen und sind für jeden klar ersichtlich. Dabei handelt es sich nicht etwa um Klarnamen oder Geolocations, sondern um sensible Kreditkartendaten beispielsweise.

This gives Air Canada employees — and anyone else capable of accessing the screenshot database — to see unencrypted credit card and password information,

gab er gegenüber TechCrunch an. Das Ergebnis gab Anlass zur Untersuchung weiterer Apps, die Glassbox auf seiner Website als Kunden aufführt. Dabei stellte sich heraus, dass nicht jede App unmaskierte Daten zur Verfügung stellte. Alle untersuchten Anbieter leugneten allerdings, den Screen während der Session aufzuzeichnen und auch würden keine Daten an Glassbox oder dessen Cloud gesendet, so die Behauptung. Der Verdacht liegt nahe, dass eine ganze Reihe an Anbietern dies eben doch macht, dabei unsauber maskiert und dass Glassbox bereits über eine Vielzahl sensibler Daten wie Passwörter oder Bankdaten verfügt, so The App Analyst. Die meisten Daten, die untersucht wurden, waren ordnungsgemäß verschleiert, nur in einigen Fällen waren E-Mail Adressen oder Postleitzahlen einsehbar.

Intransparentes Vorgehen: Der Nutzer wird nicht über das Session Replay informiert – und kann sich kaum schützen

Ohne jede einzelne App genau zu untersuchen, kann unmöglich eine Aussage über das Screenrecording getroffen werden. Auch findet sich in keiner der Datenschutzrichtlinien, die Pflicht für jede App sind, die im App Store angeboten wird, eine Erwähnung über die Datenerhebung. Glassbox benötigt dafür weder Erlaubnis von Apple noch die des Nutzers, weshalb User von dem Abfilmen des Displays gar nichts mitbekommen. Entsprechend erwähnen etwa die Apps von Expedia, Hotels.com, Air Canada oder Singapore Airlines diese Praxis mit keinem Wort. Auf Nachfrage von TechCrunch gab Abercrombie an, dass die Integration von Glassbox dabei helfe, eine reibungslose Shopping Experience zu gewährleisten und Probleme sofort zu beheben. Einen ähnlichen Tenor hatte das Statement von Air Canada, mit dem Zusatz, es sei außerhalb der App nicht möglich den Screen während der Nutzung weiter aufzuzeichnen.

Glassbox ist nur ein Anbieter von vielen in diesem Metier. Diese Art der Datenerhebung ist durchaus sinnvoll und hat eine Berechtigung, denn nur so können die App Anbieter nachvollziehen, wo es bei der Nutzung hakt oder weshalb Nutzer abspringen. Und klar, Apple schreibt eine Offenlegung nicht vor, Nutzer müssen also nicht darüber informiert werden, dass ihre Sessions aufgezeichnet und analysiert werden. Dass dieser Umstand jedoch nirgends Erwähnung findet, ist schon seltsam und ein deutlicher Hinweis darauf, dass die Anbieter sich selbst darüber im Klaren sind, wie creepy diese Methode ist. Der feinere und transparentere Weg wäre eben die Aufklärung über die Methode des Session Replays, nur dass dabei die Testgruppe weit kleiner ausfallen dürfte.

Nutzer der Air Canada App beispielsweise können sich im Übrigen nur mittels einer Blockierung der Verbindung zu glassbox.aircanada.ca über ihre DNS Einstellungen im Router schützen – oder durch eine Deinstallation der betroffenen Apps – doch auch hier wird es schwer Klarheit darüber zu erlangen, welche derartige Anbieter und in welchem Umfang sie sie einsetzen.