Tapatalk und AH Zugangsdaten (Sicherheit)

[TheBrad]

Ich wollte mir Tapatalk schon länger mal anschauen und habe es heute endlich mal gemacht. Allerdings kommt mit etwas extrem merkwürdig vor und ich hätte gerne Eure Meinung (oder Erklärung) dazu. Ich habe...

• die Tapatalk App installiert
• mir über die App einen Tapatalk Account erstellt
• den per Email erhaltenen Registrierungs-Link bestätigt

Dann wieder zurück in die App und als erstes natürlich Android-Hilfe gesucht gefunden und abonniert. Mit einem Klick auf das AH Logo (was komischerweise blau statt grün ist?) erscheint ein Bildschirm, auf dem man folgende Möglichkeiten hat:

1. Automatische Anmeldung im AH Forum über Tapatalk
2. Anmeldung im AH Forum über Name/Passwort

An dieser Stelle habe ich Auswahl 1 getroffen und siehe da, ich bin sofort in AH und kann alles sehen incl. meiner PN's etc. Jeder, der jetzt sagt "Toll, und was ist daran merkwürdig?", möge mir bitte folgende Frage beantworten:

Woher zum Henker hat Tapatalk meine AH Zugangsdaten? Ich habe diese an keiner Stelle in Tapatalk eingegeben! Spontan empfinde ich es als unterirdische Sicherheitslücke, dass irgendeine App auf meine Zugangsdaten für ein Forum zugreifen kann...

Wer kann mir das erklären?

 

[ONeill]

Hi,

vllt. beantwortet mein Beitrag deine Frage: Das was du beobachtet hast, ist der sogenannte Single-Sign-On. Dabei wird es dir ermöglicht, dass du dich auf einem Gerät, sofern du eine Tapatalk ID hast und sich mit dieser angemeldet hast, in deine Foren nicht immer manuell anmelden musst. Voraussetzung ist, dass du dich mind. einmal auf dem Gerät mit deiner Tapatalk ID _und_ manuell mit deinem Benutzernamen und Passwort am gewünschten Forum angemeldet hast. Anschließend wirst du, solange du dich nicht explizit abmeldest, nicht mehr nach deinen Benutzerdaten gefragt. Sofern ich mich recht entsinne sollte das nicht Geräteübergreifend passieren. Zudem speichert Tapatalk deine Anmeldedaten für Android-Hilfe.de laut eigener Aussage nicht auf den Servern von Tapatalk.

Ein paar zusätzliche Informationen, bereitgestellt von Tapatalk (englisch):

• How it Works – Forum Owner Edition: Tapatalk ID & Single Sign-On
• How it Works: Tapatalk ID for Forum Members

Wenn noch Fragen offen sind, versuche ich die mal zu klären

Grüße
Florian

 

[TheBrad]

Hallo Florian,

danke für die Erläuterung und die Links. Ich habe mich mittlerweile intensiv mit dem Thema beschäftigt und viel dazu gelesen (incl. der Tapatalk Privacy Information). Laut Letzterer werden die bei AH (und auch jedem anderen Forum) gespeicherten Zugangsdaten über einen speziellen, von Tapatalk bereitgestellten Dienst so an die Tapatalk App weitergeleitet, dass dort eine direkter Authentifizierungs-Vorgang zwischen dem User und AH durchgeführt wird. Ob die Angabe stimmt, dass diese Daten nicht über Tapatalk Server laufen, wird so kaum jemand klar nachvollziehen können, insgesamt gibt es dazu aber durchaus viele kritische Stimmen im Netz. Für mich als User ist nur klar, dass die Tapatalk App meine AH Userdaten zur Verfügung hat (auch das z.B. auch nach einem Passwort-Wechsel) und alleine das stimmt mich äußerst bedenklich. Vor allem vor dem Hintergrund, dass Tapatalk in der Vergangenheit bereits kompromittiert wurde und Userdaten gestohlen wurden.

Übrigens funktioniert das Tapatalk Single Sign On Verfahren leider sehr wohl auch geräteübergreifend. Ich habe die App vorhin parallel auch auf meinem Tablet installiert, mich mit meinen Tapatalk Benutzerdaten eingeloggt und siehe da... auch hier hatte ich sofort jegliche AH Inhalte zur Verfügung (ohne Eingabe der AH Zugansdaten).

Ob und wie bedenklich das ist, muss natürlich jeder für sich selbst entscheiden. Für mich reicht diese Info und die Tatsache, dass Tapatalk lt. diversen Untersuchungen riesige Mengen an Infos abgreift (URL-Tracking, Email-Adressen etc.) dafür aus, die Software umgehend wieder zu deinstallieren. AH hat mit diesen Bedenken allerdings nichts zu tun, sie beziehen sich ausschließlich auf den Tapatalk Dienst.

Danke für Deine Hilfestellung