Etliche KI-Apps in Apples App Store stehen schon in der Kritik, da sie mit fragwürdig teuren Abo-Modellen viel Geld für Leistungen kassieren, die Nutzer direkt bei ChatGPT & Co. viel günstiger bekommen. Doch Sicherheitsforscher zeigen jetzt mit einem Verzeichnis auf, warum Nutzer auch mit Blick auf den Datenschutz vorsichtig sein sollten: Sie haben aufgedeckt, dass eine ganze Reihe dieser Apps anscheinend die Nutzerdaten nicht hinreichend abgesichert hat.
Auf der Website des Sicherheitslabors CovertLabs sind in einer öffentlichen Datenbank namens Firehound aktuell 198 iOS-Apps erfasst. In 196 Fällen seien Daten zugänglich gewesen. Nach welchen Kriterien Apps für das Verzeichnis überprüft werden, ist unklar. Ein Hauptfokus liegt aber augenscheinlich auf KI-Apps, wobei auch andere Kategorien wie Gesundheit und Fitness, Grafik, Bildung und Unterhaltung aufgeführt sind. CovertLabs hat sich auf Open Source Intelligence spezialisiert und stellt Tools für Sicherheitsforscher, Ermittler und Unternehmen bereit.
Fehlkonfigurierte Cloud-Dienste als Ursache
Aktueller negativer Spitzenreiter ist eine KI-Chatbot-App namens „Chat & Ask AI by Codeway“, die laut Firehound den unbefugten Zugriff auf 406 Millionen Datensätze von über 18 Millionen Nutzern zuließ. Hier war demnach der Zugriff auf Namen, E-Mail-Adressen und vollständige Chatverläufe möglich. Weitere aufgeführte Apps ermöglichen nach Angaben der Forscher den millionenfachen Zugriff auf Nutzerdaten. Entwicklern bietet CovertLabs an, die App aus dem Verzeichnis löschen zu lassen, wenn Schwachstellen behoben wurden. Die Sicherheitsforscher wollen den Entwicklern aufzeigen, wie sie die Lücken stopfen können.
Ursächlich für die Lücken sind zumeist falsch konfigurierte Datenbanken und Cloudspeicher. Die Daten werden auf diese Weise für all jene öffentlich zugänglich, die wissen, wonach sie suchen müssen. Firehound offenbart auch die Datenbank-Schemata zu den Funden. Detaillierte Scanergebnisse können auf der Website nur nach einer Registrierung und Freischaltung eingesehen werden. Damit soll eine verantwortungsvolle Veröffentlichung gewährleistet werden.
Genügt Apples Prüfprozess?
Die Funde werfen auch Fragen zur App-Prüfung bei Apple auf. Jede App, die in den App Store möchte, muss zunächst einen Prüfprozess beim App Review durchlaufen, der meist zwischen 24 und 48 Stunden dauert. Neben automatischen Prüfungen nehmen auch Menschen Apps in Augenschein. Apple prüft hier aber offenbar vor allem das Einhalten der Vorschriften für die App-Entwicklung und auf Anzeichen für Malware, nicht aber die Backend-Infrastruktur der Entwickler.
Angesichts des zunehmenden Trends zum Vibe-Coding liegt die Vermutung nahe, dass viele KI-Apps, die dem schnellen Geschäftemachen dienen, selbst mit KI-Hilfe entstanden sind. Die dadurch niedriger gewordenen Barrieren für den Einstieg in die Entwicklung dürften dazu führen, dass Neueinsteigern zunehmend Erfahrung im Bereich Sicherheit und App-Entwicklung fehlt.
Nutzer sollten bei Apps unbekannter Entwickler grundsätzlich besonders vorsichtig sein. Sensible Daten sollten sie am besten gar nicht oder nur in sehr geringem Umfang in solchen Apps preisgeben. Auch hilft es, Apps nur die unbedingt notwendigen Berechtigungen zu erteilen und Berechtigungsanfragen kritisch zu hinterfragen.
(mki)
English (US) ·