Vlingo - Eine unendliche (dumme) Geschichte
Die Software sammelt Daten - wie IMEI-Nummer, welche Musik auf dem Gerät ist, usw - und sendet diese unverschlüsselt an einen Vlingo-Server. Auch wenn das vielen Nutzern nicht bewusst ist, kann Vlingo sich hier auf seine Nutzungsbedingungen berufen, die jeder Nutzer vor dem ersten Start der Software akzeptieren muss. Pikanterweise konnten unsere zwei Admins allerdings auf einem Samsung Galaxy Note nachweisen, dass Vlingo die ersten Daten aber bereits an seine Server schickt BEVOR der Nutzer die Bedingungen akzeptieren konnte.
Heute haben nun auch andere Medien die Story aufgegriffen. Beim bekannten Tech-Blog Engadget erschien beispielsweise heute ein Artikel, in dem Vlingo auf die AndroidPIT-Vorwürfe eingeht. Wir hatten gestern ebenfalls die Möglichkeit mit Vlingo zu sprechen und vom US-Unternehmen ein Statement zur Sache zu bekommen.
"Wir haben einen Fehler im System"
John Nguyen, Mitgründer und Produktchef bei Vlingo, gab zu, dass die Vorwürfe zuträfen und die App in der Tat Daten sammle. Teilweise würde dies auch ohne die Zustimmung der Nutzer erfolgen. Der Grund hierfür seien Software-Fehler, aber interessanterweise auch veraltete Datenschutzbestimmungen. Dass Vlingo Daten sammelt, wäre dafür erforderlich, damit die Software besser und schneller funktionieren könnte. Auf diese Weise könnte Vlingo beispielsweise verstehen, dass man einen Song von Lady Gaga hören möchte, anstatt von Lady Garber. Dies sollte eigentlich nur dann passieren, wenn die App aktiv im Gebrauch wäre. Vlingo bestätigte aber, dass die App aber auch im inaktiven Zustand Daten sammeln würde. Außerdem würde das auch teilweise bereits beim ersten Start passieren, bevor der Kunde irgendwelchen Datenschutzbestimmungen zugestimmt haben könnte. Auf die Frage, ob und bis wann man denn plane dieses Problem zu beseitigen, gab es die Antwort: "In ein paar Wochen!"
Daten werden unverschlüsselt übertragen - Server Software veraltet
Vlingo zeigte sich im Telefongespräch sehr kooperativ und verständnisvoll. Man muss allerdings Vlingo fast schon unterstellen keinerlei Interesse an Datenschutz und -sicherheit seiner Kunden zu haben. Wenn man überlegt, dass das Unternehmen mit seinem "Software-Fehler" grob gegen die geltenden europäischen Datenschutzbestimmungen verstößt und man diesen Fehler erst in ein paar Wochen beheben wolle, kann man nicht behaupten, das Unternehmen hätte großes Interesse daran den Fehler wirklich zu beheben.
Man muss sich auch überlegen, dass sämtliche Daten unverschlüsselt übertragen werden. Es wäre also ein Leichtes Daten von Vlingo-Nutzern abzufangen und diese dann selber - für was auch immer - weiter zu verwenden. Das Thema "Sicherheit" gipfelt aber in der Tatsache, dass die Sprachsteuerungsspezialisten für das Speichern der vielen Daten einen Server einsetzen, dessen Software komplett veraltet ist und noch Sicherheitslücken aufweist. Vlingo setzt einen Tomcat mit der Versionsnummer 6.0.16 ein. Die aktuellen Versionsnummern der Server-Software sind aber 6.0.35, oder 7.0.33! Der Sysadmin bei Vlingo scheint also eher mit den Rechnern der Kollegen zu tun zu haben, als mit den Servern, die für den eigentlichen Dienst zu tun haben.
Millionen Kunden sind betroffen
Wie gesagt: Vlingo ist weit verbreitet und auf vielen Millionen Samsung-Telefonen vorinstalliert. Leider heißt es von seitens Samsung noch immer, dass man in Korea an einem Statement arbeite und dieses erst Anfang der kommenden Woche vorliegen würde. Da ist Vlingo selbst schon weiter. Allerdings ist die Erklärung nicht sehr viel mehr als Marketing-Blabla:
Wir nehmen das Recht auf Privatsphäre und Sicherheit unserer Kunden sehr, sehr ernst. Wir schätzen es außerdem, dass es Personen gibt, die Vlingo Produkte und ihren Datenschutz für so wichtig erachten, dass sie so tief nachforschen. Keine Frage, dass hier einige echte Probleme aufgetaucht sind und wir die Fehlerbehebung bereits intern angehen.Vlingo verwendet die Daten eines Gerätes, um die Servicequalität zu verbessern. Einige Beispiele:
- Wir verwenden den aktuellen Standort, um Suchergebnisse zu verbessern, wie zum Beispiel um nahegelegene Restaurants anzuzeigen, wenn danach gesucht würde.
- Wir verwenden den Gerätehersteller und -typ, um die Spracherkennung akkurater zu gestalten, da die Mikrofon-Charakteristika von Gerät zu Gerät unterschiedlich sein kann.
- Wir verwenden Namen aus Adressbüchern, um die Spracherkennung [dieser Namen] zu verbessern.
- Wir verwenden Musiktitel und Künstler, um die Spracherkennung dieser zu verbessern, wenn ein Kunde den Titel spricht.
- Wir verwenden die Informationen über den Mobilfunkprovider, um so einige Probleme mit deren WAP-Portalen zu umgehen, die wir identifiziert haben.
Hier noch das Statement direkt auf Englisch:
We take any claims about our customers’ privacy and security very, very seriously. We certainly appreciate that we have individuals who are passionate enough about Vlingo’s products and about their own privacy rights to conduct this sort of in depth investigation. No question it has raised some real issues, and we have already begun to address the bugs internally.
First, to be clear, Vlingo does make use of information about each device in order to improve the quality of our service. Some examples of this include:
- We use the current location of the device to improve search results, for example, to display nearby restaurants when the user does a restaurant search.
- We use the device make & model to improve recognition accuracy since microphone characteristics can vary from one type of device to the next.
- We use names from the address book on the device to improve speech recognition accuracy (and to spell those names correctly) when users speak those names while performing tasks like voice dialing or SMS dictation.
- We use song titles and artist names from music on the device to improve speech recognition accuracy when users speak those names while requesting that specific music be played.
- We use the carrier information to work around some issues we’ve found on some carrier-specific wap gateways
While we transmit and store this information, Vlingo itself does not store any user-identifiable information—meaning we have no way to associate a list of songs or contact names to the user they came from.
Auch interessant
Yandex.Browser im Test: Schnörkelloser Mobile-Browser mit wenig Extras
Ascend P6 vs. HTC One, Galaxy S4 und Xperia Z: Huaweis Kampfansage
[Update] HTC zeigt Butterfly S: 5-Zoll-Smartphone mit 1,9 Gigahertz
Galaxy S3 und Note 2: Update auf Android 4.2.2 im dritten Quartal
Huawei Ascend P6 versus iPhone 5: Alles nur geklaut?
Mikrojob-Apps: Streetspotr und AppJobber im Test
Das Offline-Glas: Revolution der Gesellschaftstrinker
Kommentare
Na, ja... Lang genug steht das Problem schon fest :-)
Man, hätte ich das mal alles gewusst bevor ich darüber ein Video gemacht habe: http://videonerd.de/vlingo-android-app-siri-konkurrent/
Noch keine :-(
Gibt es denn jetzt mittlerweile eine Stellungnahme von Samsung?
schade das man eine an sich gute app unter diesen umständen, nicht mehr nutzen kann.
deinstallation mit task-manager!
Nach Lesen des Blogs ist Vlingo nach eintägigem Aufenthalt auf meinem G S + sofort runtergeflogen, Frechheit von der Firma, sich so um Datenschutz zu scheren
Ist ja krass! gut gemacht jungs, weiter so
@ anonym, man kann auch Systemapps entfernen, ist zwar mit einigem Aufwand verbunden, aber es lohnt sich
@Fabian: ich nehme stark an, dass es anders als geplant implementiert wurde!
Wenn ich mir die Logs so ansehe - und da meine ich nicht nur die von euch, ich benutze auch eine Version, die ich auf meinem Galaxy S bzw. meinem Testsystem Nexus S installiert habe - so scheint das Teil mit der "Aufzeichnung" der Daten und dem Transfer zum Server zu starten, sobald das App startet.
Und das unabhängig davon, ob das Fenster mit den Nutzungsbedingungen angezeigt/akzeptiert wurde oder nicht! Laut dem Code läuft das komplett unabhängig von einander! Und das ist nur ein Codeteil, der komplett geändert werden muss - es dürfte da noch andere "Dinge" im Code geben, die davon betroffen sind. (z.B. weiß ich nicht wirklich, WAS genau passiert, wenn der Benutzer die Nutzungsbedingungen "verneint" - werden dann die bereits installierten Events/Services auch wirklich entfernt / gestoppt? Bei mir jedenfalls nicht!)
@Andreas V.: Danke für den Link - ich war schon auf der Suche danach ;->
Danke für die Infos zum Thema. Hat eh nicht funktioniert. Doof das die meine Daten schon haben.
Habe den Müll mit TB gelöscht.
Mit der App kann man den Double Tap anders belegen:
http://forum.xda-developers.com/showthread.php?t=1299923&page=10
Klappt perfekt mit dem Note. Habe für den Urlaub die Kamera drauf.
Hi
eigentlich wollte ich Vlingo auf meinem HTC installieren da ich die Sprachsteuerung vom BB gewöhnt bin und beim Autofahren gibt`s nicht besseres, vorerst ist Vlingo für mich gestorben.
Suche eine App bei der ich Einfluss auf die Berechtigungen habe und die Telefonnr. aus den Kontakten und gesprochene Zahlen (z.B. 089 ...) problemlos wählt, ohne dass ich mein Handy anfassen muss. Telefoniere mit Headset beim BB funktioniert dies einwandfrei, gibt`s für Android nicht auch so was?
Wer weiß mehr als ich Bitte nicht alle.... antworten
Jetzt wird das Thema öffentlicher:
Android Central :
http://www.androidcentral.com/vlingo-responds-privacy-issues-raised-about-their-android-app
und
Phandroid:
http://phandroid.com/2012/01/27/vlingo-addresses-security-concerns-with-great-transparency/?utm_medium=referral&utm_source=pulsenews
haben das Thema aufgegriffen
und verlinken auf Androidpit (for more information)...
Interessant finde ich, das die Userkommentare bei den beiden Artikeln zum Teil eine gewisse Gleichgültigkeit zum Thema Privacy aufweisen, aber muss ja jeder selber wissen.
diese ganzen voice command sachen gehen mir eh auf den sack! da ich weder autofahrer noch headset-benutzer bin brauche ich es schlicht und ergreifend nicht. jetzt sitze ich aber schon ne halbe stunde daran wie ich auf dem s2 die homescreen double-tab funktion von diesem müll befreien kann um quickdesk benutzen zu können. irgendwelche tipps?
hab vlingo auf meinen galaxy2 deinstalliert und die app kommt mir auch nicht mehr aufs handy
Aus dem Grund bin ich bei Google anonym unterwegs. Sprich, ich hatte meine ganzen echten Accounts schon vor Monaten komplett gelöscht, verzichte auf die Speicherung meiner Daten in meinem Google Account, da ich sowas schon fast fahrlässig finde.
Das Problem bei Android ist die Flut an Apps, die kein Mensch bei Google prüft. Hier darf jeder eigentlich alles. Insofern bringen einem die ganzen "Warnungen" auf was die App zugreift auch nichts, denn um gewisse Dinge ordentlich auszuführen, müssen Apps auch auf gewisse unschöne Sachen zugreifen, sonst funktioniert es einfach nicht. Hier sieht man ein gutes Beispiel.
Die Frage ist eher, wie seriös gehen die Firmen damit um!?
Deswegen gibt es für mich kein Google mehr, kein Facebook und den anderen Mist. Wenn dann sind es Fakeaccounts, bei denen ich alles mögliche die in meiner Macht stehenden Dinge abschalte.
@Marcus, kann man beim Note nicht deinstallieren, ist eine Systemapp.
Deinstallieren, ganz einfach!!
Nutzt eigentlich irgendwer Sprachsteuerung??
Ist schon gruselig, wenn man wieder Datenschutz in Verbindung mit Sitz in den USA lesen muss. Gibt es eigentlich ein angelsächsisches Wort dafür?
Danke! App ist bei meinem SGS schon mal gesperrt..
und netterweise lässt sich der mist ohne root auch nicht mal deinstallieren :(
Bei HTC siehts ja nicht anders aus. Fast alle vorinstallierten APPs, zb. Aktie, haben alle nur möglichen Berechtigungen und einige davon laufen ständig im Hintergrund. HTC schreibt mir dazu: Machen sie sich keine Sorgen, sie müssen nur bei Apps anderer Anbieter aufpassen. Seit Monaten kämpfe ich gegen HTC und fordere die Anwendungen zu entfernen, oder die unnötigen Berechtigungen zu entfernen. Die Aktien App kann darf unter anderem Telefonieren, Fotos aufnehmen, sms und emails lesen usw. Ich kämpfe da aber ziemlich alleine. Gruss Jens
Vielen Dank, dass ihr sowas aufgedeckt habt. (Und dass ihr hart bleibt, auch wenn es um Samsung Telefone geht!)
Ist doch wohl eine Sauerei, die machen mit unseren Daten was sie wollen :-(
Nicht nur Dir Jörg....
...ich war aber im Auto unterwegs ;-)
Da hab ich vorhin nicht geschaltet, die danke für den Hinweis mit der falsch dargestellten Version.. Das ist mir echt durchgerutscht beim Korrekturlesen :-(
@Christoph
Danke für den Hinweis... RIchtig, 6.0.35 ist aktuell, Vlingo nutzt aber noch 6.0.16
Also sorry, Leute - die pauschale Aussage: sie verwenden Tomcat 6.0.35 und aktuell ist 7.0.33 ist sachlich und auch faktisch falsch.
6.0.35 ist in der 6er-Tomcat-Schiene die aktuelle stable-Release (Stand: Nov 28 2011)
BTW: 7.0.33 gibt es garnicht, ihr habt wohl 7.0.23 gemeint?
jaja, Servicequaläität:
"Wir verwenden Ihre Kontonummer, um die Geschwindigkeit von Abbuchungen zu verbessern und wir verwenden Ihre Passwörter, um Ihre Aufmerksamkeit für Datenmissbrauch zu verbessern."
Das schreit nach einer Sammelklage...
schon wieder fast der gleiche beitrag , die app taugt nicht fakt is aus ende !!!!!!!
schlimm wie mit den Daten der User umgegangen wird. Möchte nicht wissen, welche sensiblen Infos sonst noch von diversen Apps rausgefunkt werden. Habe jedenfalls per Root Zugriff und mit LBE Privacy sämtliche Zugriffe geblockt! Bevor es in dem Thema kein grünes Licht gibt, bleibt Vlingo verbannt. Ist jemandem bekannt, ob es schädlich wäre die System-App von Vlingo einfach zu löschen?
aus der offiziellen Pressemitteilung, veröffentlicht auf engadget finde ich folgenden Auszug noch sehr interessant...
"For users who are happy with the Vlingo application and want to continue using it, we thank you and recommend that you continue using the service. For users who want to stop using Vlingo and are concerned that our servers can still contain data from your device, you can contact support@vlingo.com with your IMEI, and we will remove sensitive information such as contact names from our servers."
Danke für diese serie richtig toller Blogs, Androidpit kommt zur alten Stärke zurück, wieder sehr viel und gute eigene Beiträge.
oha. Samsung hat vielleicht keine Kohle mehr nach Produktion der apfelangelehnten Spots, die momentan in der Werbung ihre Kreise ziehen, um gescheite Techniker einzustellen, die sich solcher Datenschutzprobleme annehmen könnten.
Da müsste ja ein fettes Update kommen, das kostet ja auch wieder Geld...
Von Samsung wird ist ein Statement noch ausständig, aber man arbeitet bereits daran.
@Wolfgang Stimmt schon mit V6 Und V7 des Tomcat. Nur die Version, die dort verwendet wird ist bereits aus dem Feb. 2008 -- Die letzte stable Tomcat 6.0.35 ist immerhin vom 05. Dez. 2011!
@Joe F.: Warum sollten die das tun müssen? Das würde ja bedeuten, dass sie es von Anfang darauf angelegt haben diese Daten zu greifen bzw. es versäumt haben das ordentlich zu planen.
Es dürfte klar sein, warum die Firma länger für eine Korrektur brauchen: die müssen die gesamten Abläufe und teilweise auch die internen Strukturen ändern.
"dass die Sprachsteuerungsspezialisten für das Speichern der vielen Daten einen Server einsetzen, dessen Software komplett veraltet ist und noch Sicherheitslücken aufweist. Vlingo setzt einen Tomcat mit der Versionsnummer 6.0.35 ein. Die aktuelle Versionsnummer der Server-Software ist aber 7.0.33!"
Das stimmt nun auch nicht. Es gibt zwar die 7er Reihe, aber die 6er Reihe wird auch gepflegt. Da gibt es regelmäßig Bugfixes, das gleiche gilt für Tomcat 5.
Im Business Bereich ist neu nicht immer besser..
Dass die aber wochenlang brauchen um die App zu aktualisieren, ist schon recht fragwürdig. Gäbe es Verbindungsprobleme, wäre sicher innerhalb von wenigen Stunden ein Fix da...
Edit: Daten falsch abgelesen bei Tomcat 5 und 6
Danke für das Aufdecken. Hab Vlingo vorerst von meinem S1 verbannt.
Es wurden Firmen schon wegen weniger Datenschutzverletzungen verklagt.
Gibt es auch noch ein Statement von Samsung selber, oder haben ide noch nicht geantwortet?
da ist ja der Angekündigte Blog... Habe schon gewartet :D Sehr schön gemacht...
Wie sieht es dann wohl bei anderen apps aus wie z.B. Alice?