Tag 27: Böse Facebook API

Als ich vor kurzem auf Facebook Apps ausgemistet habe, die auf meine Daten zugreifen können, sind mir zwei Dinge aufgefallen: Einerseits, dass ich naiverweise echt vielen Apps Zugriff gegeben habe und andererseits, dass eine App auch auf meine privaten Nachrichten zugreifen konnte.

Eine API ist eine Schnittstelle, die Dienste wie Facebook oder auch andere soziale Netzwerke Entwicklern zur Verfügung stellen, um Daten abzurufen. Damit diese Daten – zum Beispiel von Facebook Apps – abgerufen werden können, brauchen sie die Zustimmung der User. Das kennt jeder, der Facebook nutzt – da poppt dann ein Fenster auf wo steht: Diese App greift auf deinen Namen, deine Mailadresse, etc. zu.

thinglink permissions

Zusätzlich zu diesen Standard-Abfragen, können Entwickler von Apps weitere „Permissions“ anfordern, darunter eben auch den Zugang zu den privaten Facebook Messages. Eine volle Liste der möglichen Abfragen gibt es hier.

Missbrauch der Funktion nicht ausgeschlossen

Vor einem Jahr war der Zugang zu solchen Daten über die Facebook API auch in den Medien schon einmal Thema. So hat Stern TV darüber berichtet und gemeinsam mit dem Programmierer Cedric Wetzel, der auch einen Blogbeitrag über das Thema geschrieben hat, eine harmlose Grußkarten-Applikation für Facebook entwickelt, die jedoch zusätzlich den Zugriff zu den privaten Nachrichten angefordert hat. Viele User haben damals nicht genau gelesen (wahrscheinlich macht das ein Großteil der User nicht) und so konnten Nachrichten von 600 Nutzern abgerufen werden. (*Update siehe unten) Auch Thomas Hutter hat damals über den Beitrag geschrieben und Tipps zusammengefasst, wie man seriöse von unseriösen Apps unterscheidet.

Facebook User zu naiv?

Darüber hinaus hat das Thema jedoch nicht wirklich eine größere Öffentlichkeit erreicht. Nicht einmal ich, wo ich mich ständig beruflich auf Facebook bewegt habe, habe davon mitbekommen. Generell finde ich es schon sehr bedenklich, dass Facebook einer breiten Masse an Developern (kann jeder werden), solche Optionen zur Verfügung stellt. Was möglich ist, wird auch genutzt – so gibt es zum Beispiel auch Anleitungen, wie man es schafft jemandes Nachrichten über die API zu lesen. Man kann also wirklich nur raten, genau nachzuschauen beim Zulassen solcher Programme. Apps und Developer sind nicht generell böse oder gefährlich, aber wie überall im Leben gilt: Kontrolle ist besser als (blindes) Vertrauen.

Die gefundene App

app zugriffe

Was nun mit der App ist, die auf meine Nachrichten zugreifen konnte? Ich habe sie deaktiviert – vor allem, da ich sie nicht mehr brauche. Zusätzlich habe ich die Entwickler angeschrieben, die ich für vertrauenswürdig halte und gefragt, warum sie diese Permission brauchen und was sie mit meinen Nachrichten machen. Die Permission ist also ein Relikt aus vergangenen Zeiten und wird in der neuen Version der Applikation nicht mehr benötigt. Auch meine Nachrichten wurden nicht gespeichert.

So weit, so gut. Trotzdem gibt es für Enwickler noch immer die Möglichkeit die Erlaubnis zum Zugang zur privaten Mailbox anzufragen. Und wenn es User gibt, die sich nicht alles durchlesen, wird es auch Apps geben, die darauf Zugriff haben. Meiner Meinung nach sollte diese Funktion also nicht oder zumindest nur für einen ausgewählten Kreis an Developern zur Verfügung gestellt werden.

Ausmisten kann man übrigens unter Einstellungen – Apps.

*Update: Cedric hat mir netterweise den Link zum Script geschickt. Hier kann man also ausprobieren, wie es aussieht, wenn eine App den Zugang zu den Nachrichten anfragt.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s