-Produktempfehlung: Kaspersky lab-

Seit Mittwoch, dem 11. September 2013 verbreitet sich rasant eine Nachricht auf Facebook und in verschiedenen News Portalen. Das aktuelle Update der Facebook Anwendung für Android Smartphones soll Anrufe zu kostenpflichtigen Rufnummern ohne die Einwilligung des Nutzers tätigen können. Wir haben versucht, uns selbst ein genaueres Bild zu machen um die Brisanz dieser Neuigkeit besser einschätzen zu können und euch eventuell sagen zu können, wie ernst dieses Thema wirklich ist.

Die aktuelle Meldung an sich könnt ihr beispielsweise unter folgenden Links lesen:

(Die Artikel sind identisch und stammen alle von den gleichen Autoren)

Während wir diesen Artikel geschrieben haben, sind die verlinkten Artikel vom Netz genommen worden. (Eventuell wurde hiermit der Tatsache Rechnung getragen, dass die dort verbreiteten Informationen in der Form nicht ganz der Wahrheit entsprechen.

image

Hier nochmals Auszüge aus diesen Artikeln:

Wer vor Kurzem seine Facebook-App auf dem Smartphone aktualisiert hat, hat es vielleicht noch gar nicht bemerkt: Facebook darf jetzt mit ihrem Handy kostenpflichtige Nummern, wie z.B. teure 0900-Nummern, anrufen. Bei der Installation des Updates verlangt die Software, dass man bestimmte Berechtigungen bestätigt. Wer das im Fall Facebook ohne Nachzulesen getan hat, hat dem Unternehmen die Telefon-Erlaubnis erteilt. Da heißt es wörtlich: „Hiermit kann die Anwendung Telefonnummern ohne ihre Einwirkung anrufen. Dies kann dazu führen, dass in Ihrer Telefonrechnung unerwartete Anrufe durch Schadsoftware aufgeführt werden.“

und:

Wer nachträglich überprüfen möchte, was die App auf ihrem Smartphone oder Tablet darf, kann dies bei Geräten mit dem Betriebssystem Android über den Anwendungs-Manager in den Einstellungen tun. Hier sind alle installierten Programme und deren „Berechtigungen“ aufgelistet. Ändern kann man an diesen Einstellungen allerdings nichts mehr – höchstens die App deinstallieren. Ob Facebook nun tatsächlich ohne Nachfrage entsprechend teure Anrufe tätigen will, ist fraglich. Stellt sich trotzdem die Frage, was Facebook mit dieser Funktion bezweckt?

Schauen wir uns den Sachverhalt erstmals genauer an:

Auf Grund der erwähnten Artikel und ihres Erscheinungsdatums könnte man annehmen, dass es ein akutes und sehr aktuelles Thema ist und dass einzig das aktuellste der FB-App Updates davon betroffen ist. Hier müssen wir aber schon das erste Mal widersprechen.

Wie man anhand dieses Artikels (und vieler weiterer über Google findbare) erkennen kann, sind die betreffenden Berechtigungen nicht erst seit dem aktuellsten Update in der App enthalten. Bereits im April diesen Jahres haben verschiedenste Blogs über die neuen Berechtigungen berichtet.

Seit April 2013 wurden aber (so weit sich der Autor von ZDDK noch richtig erinnert) mindestens zwei weitere Uptates der App durchgeführt.

Ebenso tauchten zu dieser Zeit in vielen Foren zum Thema Android, Fragen von Nutzern auf, die wissen wollten, was die App mit diesen neuen Berechtigungen genau bezwecken möchte.

Ebenfalls interessant ist in diesem Zusammenhang eine Pressemitteilung des Landesbeauftragten für den Datenschutz Baden-Württemberg vom 19.04.2013: http://www.datenschutz.de/news/alle/detail/?nid=5847

In dieser Presssemitteilung geht es in erster Linie um Facebook Home, dem Android Launcher (vergleichbar mit dem Desktop eures PC) von Facebook. Dies bringt uns zum nächsten Punkt und die Fährte, warum genau die FB App so umfangreiche Berechtigungen haben möchte, bzw. sogar benötigen dürfte, um überhaupt funktionieren zu können.

Warum will Facebook diese Berechtigungen?

Eine hundertprozentige Aussage zu treffen, was Facebook genau mit diesen Berechtigungen macht, ist quasi unmöglich. Uns ist es nicht möglich, in die Köpfe der FB Entwickler zu schauen bzw. ist es für uns nicht überprüfbar, was FB mit gewonnenen Daten anfängt und in wie weit es Berechtigungen auf Smartphones überhaupt ausnutzt.

Was wir allerdings aufzeigen können, ist der höhere Zusammenhang zwischen den einzelnen Facebook Smartphone Anwendungen und die logische Konsequenz daraus.

Facebook betreibt zur Zeit vier bekannte Anwendungen für Android. Zum einen, die wohl bekannteste, die normale FB App, desweiteren die FB Messanger App, den Seitenmanager und zu guter letzt Facebook Home. Die ersten drei Apps sind grob gesagt eigenständige Anwendungen, die ganz normal auf einem Smartphone installiert werden können und einen bestimmten Bereich der FB Nutzung abdecken. Die letzte Anwendung (FB Home) ist ein so genannter Launcher. So ein Launcher übernimmt die Darstellung der Benutzeroberfläche eines Android Smartphones und integriert sich dadurch sehr tief in das Betriebssystem. Zu seinen Aufgaben zählen unter anderem das Anzeigen von Apps auf dem Homescreen (quasi die Desktopverknüpfungen auf dem Smartphone) und das Bereitstellen von Menüs und Telefonfunktionen. Nutzt man also FB Home, sorgt dieses anstelle des normalen Android Launchers, dafür dass ich gleich von meinem Homescreen aus z.B. das Telefonbuch öffnen kann, um einen meiner Kontakte anzurufen. Und hier ist auch schon der Knackpunkt. Um z.B. das Anrufen meiner Kontakte über FB Home überhaupt ermöglichen zu können, braucht die Anwendung auch die entsprechende Berechtigung. Also genau die Berechtigung, die auch dafür zuständig ist, eventuell kostenpflichtige Sonderrufnummern zu wählen.

Nun stellt man sich natürlich die Frage warum dann die normale FB App diese Berechtigung einholt und nicht nur FB Home? Auch dafür gibt es eine logische Erklärung:

Die FB App ist quasi das Fundament von FB Home. Ohne die FB App würde FB Home gar nicht erst arbeiten können.

Dazu ein Auszug eines Artikels von heise.de:

Unterstützt wird Android ab Version 4.0. Um den Launcher installieren zu können, müssen zudem Facebook-App und -Messenger auf dem Gerät vorhanden sein.

http://www.heise.de/newsticker/meldung/Facebook-Home-statt-Facebook-Smartphone-Facebook-kapert-den-Android-Homescreen-1835347.html

Somit ist eigentlich auch klar, dass FB Home auf die Berechtigungen der anderen FB Anwendungen zurückgreift und somit diese Anwendungen alle Berechtigungen benötigen, die FB Home nutzen möchte.

Aber telefoniert Facebook jetzt für mich?

Von uns dazu ein klares JAIN!

Wie oben beschrieben muss ein Launcher wie FB Home Telefonate starten können um überhaupt als Launcher seine Arbeit verrichten zu können. Das bedeutet nicht das der Nutzer nun über Facebook telefoniert oder Facebook unbemerkt Anrufe zu teuren Sonderrufnummern aufbaut.

Seit einiger Zeit bietet Facebook allerdings seine eigene Art des Telefonierens über Facebook an. Ruft man in der FB App bzw. dem Messanger die Info eines seiner Kontakte auf (im Chatbereich) so ist eine Schaltfläche zu sehen die sich „Kostenloser Anruf“ nennt. Nutzt der Kontakt ebenfalls FB auf dem Smartphone, kann man mit diesem Button einen Anruf tätigen. Dieser Anruf ist aber, wie der Button schon ankündigt, kostenlos, da er über Internet und die Server von Facebook abgewickelt wird. Was hier an Kosten anfällt, sind also einzig und allein die Gebühren für die Datenverbindung des Nutzers. Also der normale Tarif des jeweiligen Nutzers, mit dem er eine Internetverbindung am Smartphone aufbaut.

Wie ist das jetzt aber mit den schlimmen Szenarien aus den ganzen erwähnten Artikeln und Blogs? Und was ist mit dem Datenschutz?

Zuerst zum Datenschutz:

Dass Facebook immense Mengen an Nutzerdaten sammelt und für seine Zwecke aufbereitet ist nichts Neues und sollte auch mittlerweile jedem klar sein. Daher haben Warnungen von Datenschutzbeauftragten natürlich ihre Berechtigung. Trotzdem liegt es noch immer in der Hand des Nutzers, sich zu informieren und selbst zu entscheiden ob er diese oder jene App bzw. Dienst oder Netzwerk überhaupt nutzen möchte.

Die schlimmen möglichen Szenarien die sich anhand der App Berechtigungen konstruieren lassen:

Nehmen wir nochmals als Beispiel diesen Blog:
http://extdsb.wordpress.com/2013/04/13/warnung-vor-update-facebook-will-heimlich-teure-0900-er-nummern-anrufen-durfen/

Auszug:

– “Neu: Telefonnummern direkt anrufen”: Hier wird ganz deutlich gewarnt, dass diese Anwendung ohne jegliches Eingreifen des Nutzers/der Nutzerin kostenpflichtige Rufnummern wie z.B. 0900-Nummern oder aber auch 0180-er-Nummern, die mit bis zu 42 Cent pro Minute zu buchen schlagen, anrufen kann. Immerhin: Notrufnummern kann die App damit nicht anrufen.

– “Neu: Laufende Apps neu ordnen”: Diese Überschrift klingt erstmals harmlos. Dahinter verbirgt sich aber – wie auch im Hinweis deutlich dargestellt wird -, die Berechtigung einer App, die eigene Anwendung im Vordergrund zu halten und dies auch zu erzwingen.

– “Standbymodus deaktivieren”: Diese Berechtigung hatte die Facebook-App bereits. In Verbindung mit den beiden neuen Berechtigungen erscheint diese Berechtigung in einem neuem Licht.

Der Autor dieses Blogs (und auch viele andere Autoren) konstruieren aus diesen „neuen“ Berechtigungen ein mögliches Szenario. Dieses Szenario ist unserer Meinung nach aber eben nur der „Worst Case“, der schlimmste anzunehmende Fall und stellt nicht fest dass Facebook eben nun genau das tut, was in diesem beschrieben wird. Es stellt sich eher die Frage: Warum sollte FB ungefragt kostenpflichtige Nummern anrufen? Warum sollte FB seinen Ruf weiter schädigen, wenn sowas ans Licht kommen würde? Die Daten der Nutzer sind quasi das „Kapital“ von Facebook. Durch schadhaftes Verhalten, was das Anrufen solcher Nummern ja zweifelsfrei wäre, würde Facebook damit seine eigene Existenzgrundlage abgraben. Genauso wie es für Facebook selbst schädlich wäre, die Daten der Nutzer zu verkaufen. Zu dieser weit verbreiteten Meinung, sei nebenbei angemerkt, dass dies grundsätzlich nicht so ist. Ein logischer Grund dazu: Würde Facebook alle für Werbung relevanten Daten an die Werbeanbieter verkaufen, wären diese nicht mehr auf Facebook angewiesen, um sich eine Zielgruppe für ihre Werbung zusammenzustellen. Details dazu in diesem Artikel:

Für uns ist es zumindest naheliegender, aufzuzeigen, wofür die Berechtigungen in erster Linie wohl dienen.

– „Telefonnummern direkt anrufen“: Darauf sind wir weiter oben detailiert eigegangen. Kurz: FB Home braucht das Recht um Anrufe starten zu können und die FB App liefert als Fundament von FB Home diese Berechtigung.

– „Laufende Apps neu ordnen“: Eine FB Anwendung darf sich bzw. eine ihrer Funktionen im Vordergrund halten. Eine Berechtigung die zB die „Chat Heads“ von Facebook brauchen um das Profilbild eines Kontaktes auf dem Homescreen bzw. im Vordergrund über anderen Apps anzeigen zu können.

– „Standbymodus deaktivieren“: Keine neue Berechtigung, aber im Fallbeispiel des Autors nötig, damit das Szenario auch wirklich aufgeht. Im Grunde ermöglicht diese Berechtigung in erster Linie aber nur, dass FB das Smartphone aus dem „Schlafmodus“ wecken, und dem Nutzer, ohne das er extra erst eine Taste betätigen muss, eine neue Nachricht direkt auf dem Bildschirm anzeigen kann.

Auch denkbar ist, das Facebook sich mit diesem Hinweis rechtlich für alle Eventualitäten absichern möchte, ungeachtet der Tatsache wie wahrscheinlich bzw. unwahrscheinlich ein solcher Fall ist.

Nun haben wir hoffentlich die dringlichsten Fragen in diesem „Fall“ beleuchtet und aufgezeigt dass man immer beide Seiten einer Medaille betrachten sollte und nur umfassende Information ein wirklich klares und möglichst nicht verzerrtes Bild zeigen.

Die Tatsache, dass viele Nutzer einer Schlagzeile Glauben schenken, ohne dies zu hinterfragen, ist es was neue Falschmeldungen und Halbwahrheiten begünstigt und erst möglich macht.

-Mimikama unterstützen-