Der Vergleich trifft nicht mal annähernd zu.

Mal unabhängig von den folgenden Bemerkungen kann jemand, der in der Lage ist, die Schwachstellen auszunutzen, diese mindestens genauso schnell wie TJ finden. Und es geht hier nicht darum finanziellen Schaden zu erzeugen oder abzuwenden, sondern primär um Sensibilisierung für Datenschutzthemen, die einem Laien so nicht bewußt sein dürften.

Bei mir entsteht der Eindruck, dass sich Tomas wieder mal selbst als IT-Guru profilieren möchte und hierbei die Etikette und die rechtlichen Grundlagen übersieht.

Ich würde Tomas respektieren, wenn er zunächst mal die betroffenen Firmen aufklären und eine Frist zur Abstellung der Lücken stellen würde. Aber darum geht es ihm scheinbar nicht.

Auch übersieht Tomas den rechtlichen Aspekt, dass ein fremdes IT-System nicht auf Schwachstellen untersucht werden darf, sofern hierfür keine Erlaubnis vorliegt. Dies kann strafrechtlich verfolgt werden.

Aus meiner Sicht ist sein Vorgehen auch nicht dafür geeignet Kunden für seine IT-Dienstleistungen zu gewinnen.

Aber sicherlich ist Tomas auf Neukunden gar nicht angewiesen. Es ging ihm ja nur darum, die nicht wissenden Kunden der App aufzuklären und nicht darum, jemanden öffentlich bloßzustellen oder die gefundenen Lücken zur eigenen Profilierung zu veröffentlichen.

Auch übersieht Tomas den rechtlichen Aspekt, dass ein fremdes IT-System nicht auf Schwachstellen untersucht werden darf, sofern hierfür keine Erlaubnis vorliegt. Dies kann strafrechtlich verfolgt werden.

Was für ein Bullshit! Ich frage mich gerade von was Du weniger Ahnung hast. Von den technischen Abläufen einer App oder von den rechtlichen Aspekten was man tun und lassen darf? Selbstverständlich darf jeder, auch Du, auf Deinen Geräten untersuchen, was eine App macht und was Sie wohin kommuniziert. Ich darf sogar eine TLS Verschlüsselung aufbrechen, wenn der Entwickler einer App dämlich genug ist das nicht zu verhindern. Und ich darf selbstverständlich fremde Systeme scannen und schauen, wie offen diese Ihre Informationen (Versionsstände, installierte Software etc.) preisgeben. Dumm für den, der Security by Obscurity betreibt. So als dezenter Hinweis: Wenn man wie Du keine Ahnung hat, vielleicht die Klappe halten bevor man anderen was unterstellt?

Aus meiner Sicht ist sein Vorgehen auch nicht dafür geeignet Kunden für seine IT-Dienstleistungen zu gewinnen.

Lass mich kurz überlegen, ob ich mit einem von Euch Geschäfte machen will... Nein!

Wenn sich hier gerade einer profilieren will, dann doch eher Du, der offensichtlich frei von Ahnung meint seinen Quark mit abdünsten zu müssen. Weil es so bequem ist, weil es die vermeintlich schützende Herde auch so tut...

sorry wenn ich mich da einmische aber was Du von Dir gibst ist wirklich untragbar. Scheinbar bist Du verärgert, das ist OK aber nicht die Art und Weise wie Du mit den Kollegen hier umgehst. Wenn ich andere Beiträge anschaue scheinst Du Fluglehrer zu sein, trifft das zu ? Falls nein, haben Schüler Glück gehabt. Falls ja, reiss Dich gefälligst zusammen oder verabschiede Dich einfach aus diesen Forum, sowas geht gar nicht.

P.S. habe gerade gesehen das Du es bearbeitet und etwas `entschärft`hast - aber trotzdem

Andrea

Und Du bist DIr natürlich sicher, daß Du mit Deinem Beitrag etwas Fachliches zur Sache beigetragen hast ohne dabei irgendwie ins polemisch-persönliche abgerutscht zu sein? Oh und was Foren und andere Meinungen anbetrifft: Heisst Du mit zweitem Vornamen vielleicht auch Annegret?

Du hast offensichtlich Probleme damit vernünftig zu kommunizieren, das tut mir wirklich leid für Dich.

Und ich darf selbstverständlich fremde Systeme scannen und schauen, wie offen diese Ihre Informationen (Versionsstände, installierte Software etc.) preisgeben.

Mit Deinen Aussagen vor diesem Satz warst Du noch im Recht, aber damit könnte jemand auf die Idee kommen, Deine Aktivitäten in Bezug auf den "Hackerparagraphen" §202 StGB hin zu prüfen. Da wäre ich vorsichtig.

Dein Hinweis auf die Verletzung der EU-DSGVO durch solche Apps ist aber natürlich auch richtig.

Allerdings solltest Du Dich über das Echo hier nicht wundern, denn wie man in den Wald rein ruft...

Olaf

Was mich bei de Diskussion wundert, ist das der Überbringer der Infos kritisiert wird und nicht der Autor der App.
Mr. T drückt sich sicher nicht gewählt aus und polarisiert aber auf die Sachebene bezogen hat er Lücken bei der App aufgezeigt.
Ich frage mich, warum sagt niemand was zu der Datensammlerwut von Runwaymap ? Ist das in unserer Gesellschaft schon so selbstverständlich, dass sich niemand mehr darüber echauffiert?

Mit Deinen Aussagen vor diesem Satz warst Du noch im Recht, aber damit könnte jemand auf die Idee kommen, Deine Aktivitäten in Bezug auf den "Hackerparagraphen" §202 StGB hin zu prüfen. Da wäre ich vorsichtig.

Komm, setz Dich mal neben mich auf die Bank. Ich erkläre Dir das Neuland:

Erstens: Der Kontext ist falsch. Eine Verletzung des Briefgeheimnisses liegt neben der Sache da kein Bezug von Schriftstücken zum digitalen Gegenstück vorliegt. Was soll das auch sein? Emails? Messages? IP-Broadcasts? Paket Header? Schau Dir zum Vergleich § 184 StGB und den Verweis auf § 11 Abs.3 StGB an.

Zweitens: Man könnte höchstens ein Ausspähen von Daten konstruieren. Doch das bedingt, daß da auch etwas besonders geschützt z.B. mit einem Kopierschutz überwunden wurde. Das dürfte jedoch per Definiton bei einem offen im Internet zugänglichen Server sehr schwer zutreffen. Unverschlüsselte Kommunikation (so wie bei der gegenständlichen App) zählt schon mal nicht dazu. Und auch beim Aufbrechen einer TLS Transportverschlüsselung auf meinen Geräten kann mit nichten von Hacking gesprochen werden. Denn dann würde sich ja - Deinern Vorstellungen folgend - jeder Unternehmer strafbar machen, der das in seinen DPI Firewalls zum Schutz seiner IT auch macht.

Und auch der Portscan und das anonyme Aufrufen von offenen Ports zählt nicht hinzu. Erst wenn ich auf die Idee käme einige Namen/Passwörter Kombinationen durchzugehen (z.B. bei Arztpraxen sind das zu 90% immer die gleichen) oder automatisiert ganze Wörterbücher gegen ein Login zu werfen, wäre eine Schwelle überschritten.

Um es in einem analogen Bild auszudrücken:

Sich auf die Türschwelle stellen und in den Raum reinrufen oder reinschauen ist erlaubt.
Mit einem Schritt über die Schwelle die Wohnung zu betreten nicht.
Glaub mir, ich weiß sehr genau, wo die feinen Grenzen liegen.

Das wurde alles schon genannt und es bleibt schlußendlich jedem selbst überlassen ob er es nutzen will oder nicht. Wir werden täglich ausspioniert sobald wir ins Netz gehen und für jeden Hinweis sowie Tipp ist man dankbar das umgehen zu können.

Mit Verlaub, trotz dass ich eher passiver Mitlesender bin kann ich es mir nicht verkneifen:

Sie sind ein Arschloch.

So etwas unprofessionelles und eingebildtes Verhalten ist mir seit langem nicht über den (virtuellen) Weg gelaufen. Vielleicht suchen Sie sich ein anderes Hobby, noch besser ein anderes Forum.

Am besten erstellen Sie mit Ihren gottehaften Fähigkeiten gleich selbst ein eigenes Forum mit 2 Faktor Authentifizierung, Tracking, ständigen Audits (durch wen? - sich selber auditieren ist ja nicht sinnvoll) und stündlichen Passwortwechseln.

Was Sie hier loslassen gegenüber Ihnen unbekannten Personen ist sowas von untereste Schublade, vermutlich haben Sie nie einen Benimmkurs in einer Tanzschule genossen oder sich sonstige Umgangsformen angeeignet.

Ohne Worte

Ton, Musik ... etc. Der „Überbringer der Nachricht agiert so überheblich und arrogant, dass niemanden mehr die Nachricht interessiert.

Das Problem ist, dass TJ nicht nur selber keine sachliche Diskussion will, sondern diese durch unverschämte, beleidigende und persönliche Kommentare auch noch aktiv verhindert.

Wäre das anders, dann könnte man nämlich in der Tat mal drüber diskutieren, ob der Vorwurf „Datensammelwut“ eigentlich gerechtfertigt ist. Natürlich überträgt die App ihre IP-Adresse. Anders ist keine Kommunikation möglich. Auch ein Unique-Identifier ist praktisch bis notwendig bei mobilen Apps, weil sich die IP-Adresse während einer Sitzung durch die Bewegung des Nutzers ändern kann.

Andere statistische Informationen, wie z.B. Betriebssystem und Version des Handies auf dem die App läuft sind vielleicht nicht unbedingt notwendig, aber praktisch für den Autor (und übrigens auch keine persönlichen Informationen): Da ich als Autor meine App nicht auf allen erdenkbaren OS-Versionen und handies testen kann muss ich für einen halbwegs guten Kundenservice wissen, welche Kombis meine Kunden am häufigsten verwenden, um die App dann darauf zu optimieren.

Bleiben für den Vorwurf der „Datensammelwut“ einzig die anonymen Daten zum Nutzungsverhalten (also wann wird die App wie lange genutzt): Da kann man diskutieren, ob das notwendig ist. Aber bei einer kostenlosen App dem Autor das Recht abzusprechen, auch nur zu erfahren ob und wie sie genutzt wird halte ich auch für etwas übertrieben.

Die zweite Hälfte des ursprünglichen Posts von TJ haben dann schlicht nichts mehr damit zu tun, Nutzer über die Datenerfassung der App „aufzuklären“: Hier werden Systemversionen und Schwachstellen der verwendeten Backends offen genannt, die für Nutzer der App völlig irrelevant sind. Ob das illegal ist, mögen andere beurteilen - auf jeden Fall macht man das nicht, ohne dem Betreiber vorher ausreichend Möglichkeit zu geben, diese Lücken zu schliessen. Full disclosure (daran ändern auch keine aus dem Zusammenhang gerissene Wikipedia-Zitate etwas) ist für alle halbwegs vernünftigen Sicherheitsforscher ultima ratio und nicht das erste, was man macht.

Und um der Reaktion von TJ gleich zuvor zu kommen: Es istz mir ziemlich egal, wenn Du glaubst, ich hätte eh keine Ahnung. Alle anderen können sich auf Grund der Inhalte und nicht auf Grund von substanzlosen ad personam Angriffen ein Bild machen.

Sie sind ein Arschloch.

Nimm ich als Kompliment und werde auf diesen ansonsten unqualifizierten und einfältigen Beitrag, der mehr von seinem Autor preisgibt wie im lieb ist, nicht weiter eingehen.

Komm, setz Dich mal neben mich auf die Bank. Ich erkläre Dir das Neuland:

Nette Idee, brauchst Du wirklich nicht, danke. Für mich ist das auch kein Neuland, wirklich nicht. Ich bin da seit Ende der 80er mit befasst, und zwar beruflich. Du darfst zwar die Meinung haben, hier der Einzige mit "den wahren" IT-Kenntnissen zu sein, musst damit aber nicht richtig liegen. Und nein, einen detaillierten "Erfahrungsvergleich" sparen wir uns hier jetzt.

Ich bin lediglich kein Jurist, daher kann ich die strafrechtliche Relevanz Deiner Analysen nicht einschätzen. Deswegen habe ich auch nicht geschrieben, dass Du dagegen verstößt, sondern lediglich meine Ansicht geäußert, dass das jemand prüfen könnte.

Übrigens geht es - meines Laienwissens nach - im §202 StGB nicht ums Briefgeheimnis.

Wie auch immer: Wenn Du diese feinen Grenzen kennst, ist ja alles gut.

Deine nach wie vor aus nahezu jedem Artikel heraustriefende Arroganz gegenüber allen anderen nervt aber dennoch.

Olaf

Sie sind ein Arschloch.

Nimm ich als Kompliment und werde auf diesen ansonsten unqualifizierten und einfältigen Beitrag, der mehr von seinem Autor preisgibt wie im lieb ist, nicht weiter eingehen.

Als.

TJ, wäre ich dein Flugschüler, ich würde mich fremdschämen. Nicht für das "als", den Rest.

Sie sind ein Arschloch.

Solche Aussagen machen die Diskussion auch nicht besser. Oder, in einer Eleganz in der sich eigentlich nur die Engländer ausdrücken können:

Don‘t wrestle with a pig - you both get dirty but the pig likes it ...

Mich wuerde interessieren ob Du im richtigen / non-virtuellen Leben - so im direkten Gegenueber - den A... in der Hose haettest die Wortwahl dieses Threads gegen alle 20+ anwesenden zu benutzen und allen dabei in die Augen zu sehen.

@TJ: Vielleicht würde es tatsächlich Sinn machen, sich vorgängig Gedanken über die gewünschte Wirkung seiner Aussagen zu machen. War die Entwicklung der Diskussion so gewünscht? Überraschend ist sie ja nicht.

@Dimpfelmoser

App habe ich gelöscht; ich fand es schon sehr bemühend, dass ich ein Konto erstellen musste. Nur weil ich Pilot bin, heisst das nicht, dass ich tiefere Ansprüche an Produkte aus meinem Hobby haben muss

Das Problem ist, dass TJ nicht nur selber keine sachliche Diskussion will, sondern diese durch unverschämte, beleidigende und persönliche Kommentare auch noch aktiv verhindert.

Jetzt muß ich einmal laut auflachen! Bislang hast DU weder sachlich, noch vernünftig ohne beleidigende oder persönliche Kommentare auch nur ein Scherflein zur Diskussion beigetragen. Oder habe ich da was übersehen? Komm hilf mir! Wo ist ein Satz mit Substanz von Dir?

Es erscheint mir, einige hier Anwwesenden leben gleich mehrfach in einer Blase und meinen sich zu empören. Herdentrieb? Stockholm-Syndrom? Kognitive Dissonanz? Ach weisst Du, mir im Grunde egal...

Es sind ja nicht die Inhalte, von denen Du sprichst. Die mögen ja ganz oder zum Teil richtig sein.

Es ist immer auch wichtig, wie man etwas sagt. Schon mal ansatzweise gehört ? Mein "Kotzbrocken" bezieht sich einzig und allein auf die Art und Weise, wie du dich hier selbst in Szene setzt.

Du würdest weitaus mehr erreichen - sofern es Dein Ziel ist, inhaltlich etwas zu erreichen, und nicht nur Dich selbst darzustellen - wenn Du dem Ersteller der App per PN deine Anmerkungen schicken würdest, oder, wenn du es schon öffentlich machst, in einem sachlichen, gemässigten Ton.

Glaub mir, der Schrei nach Aufmerksamkeit ist wirksamer, wenn er auf leisen Tönen klingt.

Da sieht man wieder einmal was ein Mangel an Zuwendung zu Kindern später anrichten kann.

ein weiser spruch eines pharaonen-beraters vor ca 4 jahren:

nicht der pharao bleibt in erinnerung der menschen, der

seinen namen und taten in felsen und säulen ritzt....sondern

der, der seinen namen in die herzen der menschen schreibt

also...tj...reiß die herzen nicht raus...

mfg

ingo fuhrmeister

"Sie sind ein Arschloch."

SOWAS geht meines Erachtens gar nicht.

Meine erste negative Bewertung in ~20 Jahren im Forum.

@alle: können wir bitte mal mit den Ferndiagnosen aufhören? TJ hat inhaltlich Recht und drückt sich lediglich ziemlich scharf aus - offenbar immer dann, wenn er sich sicher ist, inhaltlich richtig zu liegen.

Das erinnert mich grundsätzlich auch an andere Forenmitglieder.

@TJ: du musst aber auch nicht ständig weiter Öl ins Feuer gießen, oder?

Hallo Tomas,

bitte lies mein Posting mal durch, bevor Du beleidigende Antworten verfasst und Unwissenheit unterstellst.

Natürlich darfst Du den Datenverkehr von Deinen Geräten oder von Dir verwendeten Apps untersuchen.

Für mein Rechtsverständnis stellt allerdings das Scannen eines fremden IT Systems ohne Auftrag/Einwilligung einen Straftatbestand dar, zumal wenn Du dann die gewonnenen Informationen im Detail veröffentlichst.

Zu dem Thema App Entwicklung: Viele bei der Programmierung eingesetzten Frameworks senden Daten an ihre Urheber zurück. Nicht jeder Entwickler ist sich dessen bewusst, wenn er ein Framework bei der Programmierung verwendet. Natürlich kannst Du jetzt dem Programmierer öffentlich einen Vorwurf machen und ihn anprangern. Aber guter Stil ist das aus meiner Sicht nicht.

Ich würde dem Programmierer zunächst einen privaten Hinweis geben und um Abstellung des Datenabflusses oder um Korrektur seiner Nutzerhinweise bitten.

"Es sind ja nicht die Inhalte, von denen Du sprichst. Die mögen ja ganz oder zum Teil richtig sein.

Es ist immer auch wichtig, wie man etwas sagt. Schon mal ansatzweise gehört ? Mein "Kotzbrocken" bezieht sich einzig und allein auf die Art und Weise, wie du dich hier selbst in Szene setzt.

Du würdest weitaus mehr erreichen - sofern es Dein Ziel ist, inhaltlich etwas zu erreichen, und nicht nur Dich selbst darzustellen - wenn Du dem Ersteller der App per PN deine Anmerkungen schicken würdest, oder, wenn du es schon öffentlich machst, in einem sachlichen, gemässigten Ton.

Glaub mir, der Schrei nach Aufmerksamkeit ist wirksamer, wenn er auf leisen Tönen klingt."

Volle Zustimmung, Erik!