Aurora Feint ist raus

Und dann war da noch die Geschichte um Aurora Feint – die erste ‚iPhone-Spyware‘ wie manche Medien schnell titelten.

Aurora Feint ist war ein kostenloses Taktikspiel im AppStore, bei dem man kleine Blöcke verschieben kann: das Spielprinzip ähnelt mehr oder weniger Bejeweled.

Nun entdeckten ein paar findige Jungs, die per SSH auf ihrem gejailbreakten iPhone stöberten, das Aurora Feint auf eure Kontakt-Datenbank zugreift. Name, E-Mail und Telefon-Nummer aller Kontakte werden nach dem Zugriff noch einmal lokal auf eurem Gerät (in einem Aurora-Ordner) abgelegt. An den hauseigenen Aurora-Server werden ausschließlich eure persönlichen Daten übertragen. Leider unverschlüsselt. Da horcht man natürlich auf und Macenstein fragte nach.

Nach Aussagen der Entwickler soll es sich um ein geplantes Community-Feature handeln, das euch (für eine der nächsten Versionen) schnell herausfinden lässt, ob eure Freunde auch Aurora Feint spielen.

Was technisch passiert ist Folgendes: Beim Einloggen ins Spiel müsst ihr euch einen Account erstellen. Dieser Account erhält einen Eintrag in die Aurora Feint-Datenbank auf deren Servern. Wenn ihr nun ein Spiel startet werden eure Daten ONLINE gegen die, der lokalen Datenbank auf eurem iPhone abgeglichen. Eure lokalen Kontakte werden also mit denen, der ONLINE Aurora-Nutzern verglichen. Übertragen werden lediglich eure persönlichen Informationen (E-Mail und Telefon-Nummer) – die Datenbank mit euren Freunde bleibt lokal und dient lediglich der Indizierung.

Mhhh…trotzdem schwierig. Zwar werden die Kontakt-Informationen euer Freunde nicht auf Auroras Webserver abgelegt, aber sie werden dahin übertragen. Wie wir wissen unverschlüsselt.

Ich würde den Entwickler einmal unterstellen, das keine böswilligen Absichten hinter dem leicht missverständlichen Vorgehen stecken. Dafür ist die Implementation einfach zu auffällig. Leider zeugt es jedoch auch nicht von großer Weitsicht, ohne eine Rückfrage (!) an den Benutzer zu stellen, diese Daten zu übertragen. Ein Button hätte genügt.

Was uns zum Thema Qualitätssicherung führt. Apple hat im ersten Verifizierungsprozess die App ohne weitere Fragen durchgewunken. Nach dem relativ großen Medienecho, hat Cupertino heute Morgen temporär das Spiel aus dem AppStore genommen.

Aurora Feint hat Stellung bezogen und eine überarbeitete Version bereits bei Apple zur Prüfung eingereicht.

-> Latest On AF Missing From App Store

Es bleibt festzuhalten…

• …das Aurora Feint sich hätte transparenter und cleverer anstellen können
• …das Apple solch ein Vorgehen (wenn sie es denn nicht tolerieren und das zeigt nunmal die Löschung des Programms im AppStore) hätte das ‚Feature‘ bereits im Genehmigungstest bemerken werden müssen
• …das Benutzer gerne aufgeklärt werden wohin ihre Daten gesendet werden
• …eine einfache Community-Anmeldung auf der Webseite auch funktionieren würde
• …den Jailbreak-Jungs für die Aufklärung zu danken ist
• …das niemand Privacy-Mitteilungen im Kleingedruckten liest