(Bild: Jörg Voss)
Wow, Vlingo scheint gerne Tore zu schießen. Vor allem Eigentore. Nachdem Jörg und Andreas vor zwei Tagen den Vlingo-Skandal aufgedeckt haben, kommen immer weitere Schlampereien seitens Vlingo hinzu, die aber durchaus fatale Auswirkung auf die Datensicherheit der Nutzer haben können.
Die Software sammelt Daten - wie IMEI-Nummer, welche Musik auf dem Gerät ist, usw - und sendet diese unverschlüsselt an einen Vlingo-Server. Auch wenn das vielen Nutzern nicht bewusst ist, kann Vlingo sich hier auf seine Nutzungsbedingungen berufen, die jeder Nutzer vor dem ersten Start der Software akzeptieren muss. Pikanterweise konnten unsere zwei Admins allerdings auf einem Samsung Galaxy Note nachweisen, dass Vlingo die ersten Daten aber bereits an seine Server schickt BEVOR der Nutzer die Bedingungen akzeptieren konnte.
Heute haben nun auch andere Medien die Story aufgegriffen. Beim bekannten Tech-Blog Engadget erschien beispielsweise heute ein Artikel, in dem Vlingo auf die AndroidPIT-Vorwürfe eingeht. Wir hatten gestern ebenfalls die Möglichkeit mit Vlingo zu sprechen und vom US-Unternehmen ein Statement zur Sache zu bekommen.
"Wir haben einen Fehler im System"
John Nguyen, Mitgründer und Produktchef bei Vlingo, gab zu, dass die Vorwürfe zuträfen und die App in der Tat Daten sammle. Teilweise würde dies auch ohne die Zustimmung der Nutzer erfolgen. Der Grund hierfür seien Software-Fehler, aber interessanterweise auch veraltete Datenschutzbestimmungen. Dass Vlingo Daten sammelt, wäre dafür erforderlich, damit die Software besser und schneller funktionieren könnte. Auf diese Weise könnte Vlingo beispielsweise verstehen, dass man einen Song von Lady Gaga hören möchte, anstatt von Lady Garber. Dies sollte eigentlich nur dann passieren, wenn die App aktiv im Gebrauch wäre. Vlingo bestätigte aber, dass die App aber auch im inaktiven Zustand Daten sammeln würde. Außerdem würde das auch teilweise bereits beim ersten Start passieren, bevor der Kunde irgendwelchen Datenschutzbestimmungen zugestimmt haben könnte. Auf die Frage, ob und bis wann man denn plane dieses Problem zu beseitigen, gab es die Antwort: "In ein paar Wochen!"
Daten werden unverschlüsselt übertragen - Server Software veraltet
Vlingo zeigte sich im Telefongespräch sehr kooperativ und verständnisvoll. Man muss allerdings Vlingo fast schon unterstellen keinerlei Interesse an Datenschutz und -sicherheit seiner Kunden zu haben. Wenn man überlegt, dass das Unternehmen mit seinem "Software-Fehler" grob gegen die geltenden europäischen Datenschutzbestimmungen verstößt und man diesen Fehler erst in ein paar Wochen beheben wolle, kann man nicht behaupten, das Unternehmen hätte großes Interesse daran den Fehler wirklich zu beheben.
Man muss sich auch überlegen, dass sämtliche Daten unverschlüsselt übertragen werden. Es wäre also ein Leichtes Daten von Vlingo-Nutzern abzufangen und diese dann selber - für was auch immer - weiter zu verwenden. Das Thema "Sicherheit" gipfelt aber in der Tatsache, dass die Sprachsteuerungsspezialisten für das Speichern der vielen Daten einen Server einsetzen, dessen Software komplett veraltet ist und noch Sicherheitslücken aufweist. Vlingo setzt einen Tomcat mit der Versionsnummer 6.0.16 ein. Die aktuellen Versionsnummern der Server-Software sind aber 6.0.35, oder 7.0.33! Der Sysadmin bei Vlingo scheint also eher mit den Rechnern der Kollegen zu tun zu haben, als mit den Servern, die für den eigentlichen Dienst zu tun haben.
Millionen Kunden sind betroffen
Wie gesagt: Vlingo ist weit verbreitet und auf vielen Millionen Samsung-Telefonen vorinstalliert. Leider heißt es von seitens Samsung noch immer, dass man in Korea an einem Statement arbeite und dieses erst Anfang der kommenden Woche vorliegen würde. Da ist Vlingo selbst schon weiter. Allerdings ist die Erklärung nicht sehr viel mehr als Marketing-Blabla:
Wir nehmen das Recht auf Privatsphäre und Sicherheit unserer Kunden sehr, sehr ernst. Wir schätzen es außerdem, dass es Personen gibt, die Vlingo Produkte und ihren Datenschutz für so wichtig erachten, dass sie so tief nachforschen. Keine Frage, dass hier einige echte Probleme aufgetaucht sind und wir die Fehlerbehebung bereits intern angehen.Vlingo verwendet die Daten eines Gerätes, um die Servicequalität zu verbessern. Einige Beispiele:
- Wir verwenden den aktuellen Standort, um Suchergebnisse zu verbessern, wie zum Beispiel um nahegelegene Restaurants anzuzeigen, wenn danach gesucht würde.
- Wir verwenden den Gerätehersteller und -typ, um die Spracherkennung akkurater zu gestalten, da die Mikrofon-Charakteristika von Gerät zu Gerät unterschiedlich sein kann.
- Wir verwenden Namen aus Adressbüchern, um die Spracherkennung [dieser Namen] zu verbessern.
- Wir verwenden Musiktitel und Künstler, um die Spracherkennung dieser zu verbessern, wenn ein Kunde den Titel spricht.
- Wir verwenden die Informationen über den Mobilfunkprovider, um so einige Probleme mit deren WAP-Portalen zu umgehen, die wir identifiziert haben.
Hier noch das Statement direkt auf Englisch:
We take any claims about our customers’ privacy and security very, very seriously. We certainly appreciate that we have individuals who are passionate enough about Vlingo’s products and about their own privacy rights to conduct this sort of in depth investigation. No question it has raised some real issues, and we have already begun to address the bugs internally.
First, to be clear, Vlingo does make use of information about each device in order to improve the quality of our service. Some examples of this include:
- We use the current location of the device to improve search results, for example, to display nearby restaurants when the user does a restaurant search.
- We use the device make & model to improve recognition accuracy since microphone characteristics can vary from one type of device to the next.
- We use names from the address book on the device to improve speech recognition accuracy (and to spell those names correctly) when users speak those names while performing tasks like voice dialing or SMS dictation.
- We use song titles and artist names from music on the device to improve speech recognition accuracy when users speak those names while requesting that specific music be played.
- We use the carrier information to work around some issues we’ve found on some carrier-specific wap gateways
While we transmit and store this information, Vlingo itself does not store any user-identifiable information—meaning we have no way to associate a list of songs or contact names to the user they came from.
Marcel W.
Wie sieht es dann wohl bei anderen apps aus wie z.B. Alice?