> > > > Tapatalk - nur mit Modifikationen sicher

Tapatalk - nur mit Modifikationen sicher

Veröffentlicht am: von

tapatalkSeit einigen Tagen läuft auf Hardwareluxx nur noch eine selbst angepasste Plugin-Variante der beliebten App "Tapatalk". Tapatalk ist eine App für Android, Windows Phone und iPhone, welche die mobile Nutzung von Foren möglich macht. Nach Hinweisen von einigen Usern aus unserer Community, die von Tapatalk eine Zusammenstellung aktueller Foren-Threads aus unserem Forum per Email erhalten hatten, analysierten wir in den letzten Tagen mit Hilfe unseres Server-Teams von Oberdieck Online den Plugin-Code und fanden im Tapatalk-Code eine interessante neue Funktion: "Allow Trending" nannte Tapatalk diese im Beta-Stadium befindliche Option, die mit den letzten regulären Updates integriert worden ist. Mit dieser Funktion ist es Tapatalk möglich, Emails an Forennutzer zu senden - und das, auch wenn diese keinen eigenen Tapatalk-Account haben. 

Bereits nach Bekanntwerden der ersten von Tapatalk versendeten Emails entfernten wir zunächst das Tapatalk-Plugin von unserer Webseite. Eine Kontaktaufnahme mit Tapatalk brachte kurze Zeit danach eine erste Antwort:

Please accept our apologies.  We are currently in a Beta program for the Trending Discussion email, and you were incorrectly added to the Beta.  You have been removed from the Beta and we have put additional protections in place so that your forum, or any other forums are not incorrectly added to the Beta.

Diese Antwort war für uns aber nicht ausreichend. In der Tat gab es auch im Web-Backend von Tapatalk nun eine neue Funktion "Trending Topics", die man abschalten konnte - ohne Zutun ist sie standardmäßig aktiviert. Allerdings war nach der Analyse des Codes, welche auch von einigen Foren-Mitgliedern wie TCM unterstützt wurde, schnell klar, dass dieses nicht die einzige Option war, die man abschalten musste, um Tapatalk Zugriff auf Emailadressen zu verwehren. Auch in der config.php der Software versteckte sich seit einigen Versionen ein Eintrag ohne Erklärung der Funktion, der interessanterweise in der Voreinstellung immer aktiviert ist:

'allow_trending'          => 1,

Diese Einstellung wiederum führt in einer anderen Datei (function_server.php) dazu, dass ein Codebereich ausgeführt werden darf, der die Datensätze zur Generierung der Trending-Email-Funktion bereitstellt. Tapatalk überträgt diese Datensätze dann verschlüsselt mittels einem API-Key und generiert hieraus die Emails. In der function_server.php wird die Funktion erklärt:

/*
This function submits the basic user information required by the Trending Email program if the forum is configured to participate.
You change the trending email settings in Tapatalk forum owner page. For more information please visit Tapatalk.com.
Setting the flag 'allow_trending' to '0' in file mobiquo/config/config.txt will disable this function locally.
Note, if this function is disabled then the forum cannot participate in the Trending Email program until it is enabled locally and in the forum owners control panel.
*/

Interessanterweise wird hier auch noch die falsche Datei genannt (config.txt statt config.php). Auf Tapatalk finden sich keine Informationen zu der Funktion, ebenso gab es keinen Hinweis für die Forennutzer, dass man sich theoretisch nun an den Emailadressen der Nutzer ohne entsprechende Genehmigung bedienen kann. Wenn man schon eine derart bedenkliche Funktion hinzufügt, hätte diese opt-in, also mit "allow_trending" => 0 implementiert werden müssen. 

Wir fragten bei Tapatalk nach, wie es technisch ermöglicht wurde, diese Emails zu versenden:

The encrypted emails are retrieved only for the Trending Discussion email, and the encrypted email addresses are never stored on any Tapatalk server.
As a side note, we have been running the Trending Discussions Beta with about 200 U.S. based forums, and the Forum Owners have been very pleased with the results.  The Beta program has seen excellent open rates, and had a very low unsubscribe rate from members.

Auch wenn eine Aussage besteht, dass diese Emails nicht auf einem Tapatalk-Server gespeichert werden, reichte uns das nicht aus. Wir baten um weitere Aufklärung, insbesondere seit wann die Funktion "allow_trending" existiert und wie die Emails technisch generiert werden. Weiterhin baten wir um ein Statement, in welcher Form man sich die Genehmigungen der Leser und Tapatalk-Nutzer für das Mailing eingeholt hat, da dies nach deutschem Recht notwendig ist. Tapatalk reagierte hierauf nicht mehr. An einer Aufklärung oder Änderung der Codebereiche scheint man nicht interessiert. 

Da diverse User in unserem Forum mittlerweile baten, das Plugin wieder zu installieren, da man Tapatalk weiterhin nutzen wollte, machten wir uns ans Umprogrammieren des Plugins. Sämtliche Codebereiche wurden entfernt, die Datensätze zusammenstellen können und an Tapatalk übertragen können. Weiterhin wurden auch die anderen Codebereiche von Tapatalk überprüft und gesichtet, um ähnlich gelagerte Probleme zu verhindern. Bei entsprechenden Updates seiten Tapatalks werden wir diese nur partiell einbauen, um Sicherheitslücken zu schließen. Um dem Thema Nachdruck zu verlangen, baten wir Oberdieck Online, sich an die Heise Security zu wenden. Ein entsprechender Artikel ist mittlerweile im Ticker verfügbar. 

Anderen Forenbesitzern ist nur zu empfehlen, diese Änderungen ebenfalls durchzuführen, um die Daten der eigenen Nutzer zu schützen.  

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

es liegen noch keine Tags vor.

Kommentare (9)

#1
customavatars/avatar135109_1.gif
Registriert seit: 24.05.2010

Kapitänleutnant
Beiträge: 1660
"um Tapatalk Zugriff auf Emailadressen zu gewähren"
wohl eher verwehren
#2
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 29482
Auch bei Heise zu finden: Tapatalk-Plug-in liest Daten von Forennutzen aus | heise online
#3
Registriert seit: 11.05.2014

Gefreiter
Beiträge: 45
Vielen Dank für die Info. Nutze zwar kein Tabatalk mehr, aber es ist wichtig dies zu wissen.
#4
customavatars/avatar34509_1.gif
Registriert seit: 31.01.2006
Jena / Thüringen
Moderator
HWLUXX OC-Team
TeamMUTTI
Beiträge: 12061
Vielen Dank für Euer Engagement! :wink:
#5
customavatars/avatar202425_1.gif
Registriert seit: 26.01.2014

Oberleutnant zur See
Beiträge: 1324
Dankeschön =)
#6
Registriert seit: 05.03.2007

Kapitän zur See
Beiträge: 3621
Wer braucht diese total überflüssige App überhaupt?
#7
customavatars/avatar203311_1.gif
Registriert seit: 17.02.2014

Obergefreiter
Beiträge: 83
Ich hab dieses Forum noch nie in der Web-Version betreten - daher vielen dank ^^
#8
customavatars/avatar124666_1.gif
Registriert seit: 06.12.2009

Flottillenadmiral
Beiträge: 4117
Vielen dank für den professionellen Ablauf :). Und auch gut, dass ihr andere davor warnt.
#9
customavatars/avatar223028_1.gif
Registriert seit: 22.06.2015

Matrose
Beiträge: 1
Die Tapatalk API für phpBB sendet Ihr in Session-ID und die URL Ihrer Post an tapatalk.com , die eine wichtige Sicherheitslücke ist angemeldet.

In mobiquo/function/invitation.php:

$push_url = "http://tapatalk.com/forum_owner_invite.php?PHPSESSID=$_POST[session]&api_key=$_POST[api_key]&url=".urlencode($furl)."&action=verify"

Check it out - Chat with our staff :) | Page 135 | Android Forums
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Kommentar: Pokémon Go bringt die Smombies auf den Vormarsch

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO_LOGO

Sicherlich lassen sich meine Erfahrungen von Sonntag nicht zwangsläufig auf ganz Deutschland übertragen, dennoch stelle ich folgende Behauptung auf: Am vergangenen Wochenende zog es vielerorts deutlich mehr Menschen auf die Straßen als noch in den Tagen zuvor. Schuld daran war nicht nur das... [mehr]

Unreal Engine 4: So realistisch geht virtueller Wald

Logo von IMAGES/STORIES/2017/UNREAL-ENGINE4

Die Entwickler von MAWI United, ein CG- und VR-Studio, welches hauptsächlich Animationen und Effekte für Filme, Serien, Trailer, Videospiele und Werbeclips erstellt, zeigt einige Beispiele, wie man mithilfe der Unreal Engine 4 einen spektakulären Wald erstellen kann. MAWI United bietet die... [mehr]

Valve arbeitet womöglich an neuer Benutzeroberfläche für Steam

Logo von IMAGES/STORIES/LOGOS-2013/STEAM

Valve scheint im Hintergrund an einer neuen Benutzeroberfläche für seine digitale Spielevertriebsplattform Steam zu arbeiten. Das lassen zumindest zwei Bilder vermuten, die im Code eines Beta-Updates entdeckt, inzwischen aber von Valve schon wieder entfernt wurden. Auf Github sind die beiden... [mehr]

Pokémon Go offiziell in Deutschland erhältlich – erstes Update für iOS

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO_LOGO

Bis vor wenigen Stunden war Pokémon Go nur über Umwege in Deutschland spielbar. Besitzer eines Android-Smartphones mussten sich über Umwege die APK-Datei beschaffen und diese durch Aushebelung der Drittanbieter-Sperre auf ihrem Gerät installieren. Etwas schwieriger war das unter iOS – hier... [mehr]

Google Chrome erreicht Meilenstein von zwei Milliarden aktiven Nutzern

Logo von IMAGES/STORIES/LOGOS-2013/CHROME-LOGO

Google bzw. dessen Vizepräsident für das Chrome-Produktmanagement, Rahul Roy-Chowdhury, hat einen neuen Meilenstein für den Browser Chrome vermeldet: Mittlerweile nutzen ca. zwei Milliarden Nutzer Chrome aktiv. Diese Zahl meint plattformübergreifend Chrome an sowohl Windows-PCs, Geräten mit... [mehr]

Dropbox sorgt für Ärger: Vermeintlich gelöschte Daten tauchen nach Jahren...

Logo von IMAGES/STORIES/LOGOS-2017/DROPBOX

An sich hört sich das nach einer feinen Sache an: Bei Cloud-Speicherdiensten wie Dropbox kann man seine Daten online speichern und so auch langfristig archivieren. Auf diese Weise lassen sich auch Daten sichern, die möglicherweise bei einer defekten Festplatte für immer verloren wären.... [mehr]