Die App Neon, die Nutzern Geld für die Aufzeichnung ihrer Telefonate zur Schulung von KI-Modellen versprach, wurde nach der Entdeckung einer gravierenden Sicherheitslücke abgeschaltet. Die Schwachstelle ermöglichte den Zugriff auf Telefonnummern, Gesprächsaufzeichnungen und Transkripte aller Nutzer und legte damit sensible private Daten offen.
Wichtige Erkenntnisse
- Die App Neon wurde vorübergehend abgeschaltet, nachdem eine Sicherheitslücke entdeckt wurde.
- Die Lücke legte die Telefonnummern, Audioaufzeichnungen und Text-Transkripte der Anrufe von Nutzern offen.
- Jeder angemeldete Nutzer konnte potenziell auf die Daten anderer Nutzer zugreifen.
- Das Unternehmen informierte die Nutzer über eine pauschale "Sicherheitsverbesserung", erwähnte das konkrete Datenleck jedoch nicht.
Ein viraler Aufstieg mit fatalen Folgen
Die Anwendung Neon erlebte einen rasanten Aufstieg in den App-Charts. Mit dem Versprechen, Nutzer für ihre Telefonaufnahmen zu bezahlen, die dann an KI-Unternehmen verkauft werden, zog sie schnell Tausende von Nutzern an. Innerhalb kurzer Zeit nach ihrer Veröffentlichung zählte sie zu den fünf beliebtesten kostenlosen iPhone-Apps in den USA.
Laut dem Analyse-Dienst Appfigures wurde die App allein an einem Tag 75.000 Mal heruntergeladen. Das Geschäftsmodell basierte darauf, dass die gesammelten Audiodaten zum Trainieren, Verbessern und Testen von KI-Modellen verwendet werden. Doch der Erfolg war nur von kurzer Dauer.
Das Geschäftsmodell von Neon
Neon bot Nutzern eine einfache Möglichkeit, Geld zu verdienen: Sie installierten die App, führten Telefonate und die App zeichnete diese auf. Die Audio-Daten wurden anschließend an Unternehmen verkauft, die künstliche Intelligenz entwickeln. Dieser Ansatz machte die App schnell populär, warf jedoch von Anfang an Fragen zum Datenschutz auf.
Die Entdeckung der Sicherheitslücke
Journalisten von TechCrunch entdeckten bei einem Test der App eine kritische Schwachstelle. Es stellte sich heraus, dass die Server von Neon nicht ausreichend gesichert waren. Ein angemeldeter Nutzer konnte ohne Weiteres auf die Daten anderer Nutzer zugreifen.
Für die Analyse wurde ein spezielles Werkzeug namens Burp Suite verwendet, das den Netzwerkverkehr zwischen der App und den Servern untersucht. Dieses Vorgehen ermöglichte es, die technische Kommunikation der App nachzuvollziehen und die Schwachstellen aufzudecken.
Wie der Zugriff auf fremde Daten möglich war
Die Untersuchung zeigte, dass die Backend-Server der App keine Überprüfung durchführten, ob eine Anfrage für bestimmte Daten auch vom berechtigten Nutzer stammte. Nach einigen Testanrufen zeigte die App eine Liste der eigenen Gespräche und der damit erzielten Einnahmen an.
Im Hintergrund offenbarte die Netzwerkanalyse jedoch weit mehr. Die Server lieferten nicht nur die Daten des eigenen Kontos, sondern konnten manipuliert werden, um die Aufzeichnungen und Metadaten anderer Nutzer auszugeben. Dazu gehörten öffentliche Web-Links zu den Audiodateien und den vollständigen Text-Transkripten der Gespräche.
Welche Daten waren betroffen?
- Telefonnummern: Die Nummer des Neon-Nutzers und die des Gesprächspartners.
- Metadaten: Zeitpunkt des Anrufs, Dauer und der durch den Anruf generierte Geldbetrag.
- Audioaufnahmen: Die komplette Tonspur des Gesprächs seitens des Neon-Nutzers.
- Transkripte: Eine textliche Abschrift des gesamten aufgezeichneten Gesprächs.
Umfang der offengelegten Informationen
Die Schwachstelle war so gravierend, dass die Server auf Anfrage die neuesten Anrufdaten beliebiger Nutzer preisgaben. Ein Angreifer hätte systematisch die Daten einer großen Anzahl von Nutzern abrufen können. Die Analyse einiger aufgedeckter Transkripte und Audiodateien legt nahe, dass einige Nutzer die App nutzten, um heimlich Gespräche in ihrer Umgebung aufzuzeichnen, um damit Geld zu verdienen. Dies verschärft die Datenschutzproblematik erheblich, da nicht nur die Nutzer selbst, sondern auch ahnungslose Dritte betroffen sind.
"Ihre Datensicherheit hat für uns oberste Priorität, und wir wollen sicherstellen, dass sie auch in dieser Phase des schnellen Wachstums vollständig gewährleistet ist. Aus diesem Grund nehmen wir die App vorübergehend vom Netz, um zusätzliche Sicherheitsebenen hinzuzufügen."
Dies schrieb der Gründer der App, Alex Kiam, in einer E-Mail an die Nutzer, nachdem er über die Lücke informiert worden war. Die Tatsache, dass Nutzerdaten bereits ungeschützt zugänglich waren, wurde in der Mitteilung jedoch nicht erwähnt.
Offene Fragen und mangelnde Transparenz
Kurz nach der Kontaktaufnahme durch TechCrunch wurden die Server der App abgeschaltet. Die Kommunikation des Unternehmens wirft jedoch Fragen auf. Die Nutzer wurden über die Abschaltung informiert, aber nicht über den wahren Grund – das massive Datenleck.
Es bleibt unklar, wann Neon wieder online gehen wird. Ebenso unbeantwortet sind zentrale Fragen zur Sicherheit. Kiam äußerte sich nicht dazu, ob die App vor ihrer Veröffentlichung einer Sicherheitsüberprüfung unterzogen wurde. Es ist auch nicht bekannt, ob das Unternehmen über technische Protokolle verfügt, um festzustellen, ob die Schwachstelle bereits vor der Entdeckung durch Journalisten von anderen ausgenutzt wurde.
Kein Einzelfall in der App-Branche
Der Fall Neon ist kein isoliertes Ereignis. Immer wieder gelangen Apps mit schwerwiegenden Sicherheitsmängeln in die offiziellen App-Stores von Apple und Google. In der Vergangenheit waren bereits populäre Apps wie die Dating-Begleit-App Tea oder große Plattformen wie Bumble und Hinge von Datenlecks betroffen, bei denen persönliche Informationen oder Standortdaten von Nutzern offengelegt wurden.
Auch die von Kiam auf LinkedIn genannten Investoren, Upfront Ventures und Xfund, haben auf Anfragen bisher nicht reagiert. Der Vorfall unterstreicht die Risiken, die mit Apps verbunden sind, die sensible Daten sammeln, ohne angemessene Sicherheitsvorkehrungen zu treffen.
