Symantec hat festgestellt, dass die Android-App von Facebook Telefonnummern von Nutzern auf eigene Server hochgeladen hat. Millionen von Anwendern sollen betroffen sein. Geschehen sein soll dies direkt nach dem Start der App noch bevor sich die Nutzer angemeldet haben. Eine Zustimmung hatten die Nutzer nicht gegeben.

Die Facebook-Anwendung ist auf mehreren Millionen Geräten installiert, wie im Google Play Store zu sehen ist (7,4 Millionen Downloads). Ein großer Teil der Geräte wird vom Leak betroffen sein. Dabei muss sich der Anwender nicht mal selbst angemeldet haben oder über ein Facebook-Konto verfügen. Es reicht bereits aus die Anwendung ein mal zu starten. Viele Android-Geräte kommen mit vorinstallierter Facebook-Anwendung daher. Festgestellt hat dies Symantec mit der eigenen Sicherheitslösung Norton Mobile Security.

Alles nur eine Fehlfunktion?

Was Facebook mit den Telefonnummern anstellt, ist unklar. Gegenüber Symantec äußerte sich Facebook nur dahingehend, dass es sich um ein Problem handele, welches in einem der nächsten Updates behoben werden soll. Beim Update vom 27. Juni scheint das noch nicht geschehen zu sein. In der Beschreibung des Updates ist nichts dazu zu lesen. Zumindest beteuerte Facebook die Telefonnummern weder verarbeitet, noch benutzt zu haben. Inzwischen seien die Telefonnummern von den Servern gelöscht worden.

Wie im Blogeintrag von Symantec zu lesen ist, sei die Anwendung von Facebook bei weitem nicht die schlimmste, die die privaten Daten weitergibt. In der nächsten Zeit will Symantec weitere Anwendungen unter die Lupe nehmen. Wir dürfen gespannt sein, was das Sicherheitsunternehmen noch veröffentlichen wird.

Facebooks App verlangt bei der Installation merkwürdige Rechte. So verlangt sie bei „Persönliche Informationen“ die Kontaktdaten zu lesen und schreiben zu dürfen. Unter dem Punkt „Systemtools“ will sie Anwendungen abrufen und neu sortieren. Selbst Dateien herunterzuladen ohne den Nutzer zu benachrichtigen nimmt sie sich unter „Netzkommunikation“ heraus.

Dabei ist das nicht die erste Datenpanne bei Facebook. Kürzlich erst (vor einer Woche) konnten bei Facebook über die Archiv-Funktion der Webseite Nutzer auf nicht öffentliche Telefonnummern ihrer Kontakte zugreifen.