Zwei voneinander unabhängige Berichte behaupten, Adobe lese über die hauseigene eBook-Software namens “Digital Editions” mit. Dass DRM (Digital Rights Management, Neusprech für Kopierschutz) im Endeffekt auch wie ein Rootkit oder Spyware fungieren kann, wird bei diesem jüngsten Beispiel schmerzhaft deutlich.
Laut den erwähnten Berichten protokolliert Adobe Digital Editions 4 auf dem Mac oder PC nämlich jedes Dokument, EPUB-File bzw. eBook, das zur Bibliothek des Nutzers hinzugefügt wird. Dann wird jegliche Aktivität (beispielsweise die Position im Buch, Lesedauer und der Titel) festgehalten und an den Softwarehersteller geschickt.
Dass solche semi-unfreiwilligen Marktstudien für Verlage, Buchautoren oder Marketingunternehmen sehr hilfreich sein können, ist natürlich klar.
Was, Wie, Wo, Wann: Alles in der Black Box
Das wäre ja alles noch halbwegs in Ordnung, wenn Adobe diese Informationen wenigstens verschlüsselt übermitteln würde – leider ist das nicht der Fall. Die Daten werden im Klartext blank ins Netz an das Adobe-Mutterschiff übermittelt, was auch potenziell Dritten alle Türen und Tore öffnet, Euren Lesespaß auszuwerten.
Beispielsweise wie oft ihr nun schon dieselbe phantasievolle Passage in Fifty Shades of Grey gelesen habt, wo genau gelesen wurde (bspw. im Büro) und wann das der Fall war. Oder aber Ihr befasst Euch gerade mit einem heiklen medizinischen oder beruflichen Thema, das nicht gerade jeder (inklusive der künftigen Krankenkasse oder dem jetzigen Arbeitgeber) erfahren sollte.
Diese Details gehen eigentlich niemanden etwas an, außerdem sollten sie wenigstens verschlüsselt sein
Die Implikationen der intensiven Lese-Überwachung liegen bei der aktuellen Situation im Netz mit BND und USA im Hinterkopf ziemlich klar auf der Hand: Das private Konsumverhalten sollte idealerweise anonym bleiben. Leider scheint Adobe da einen faustdicken Ast in die Speichen zu werfen, was Privatsphäre und Respekt vor dem Konsumenten angeht.
Die Electronic Frontier Foundation (EFF) merkt nicht ganz unberechtigt an: Solche unnötigen Ausrutscher mit Kundendaten hebeln jahrzehntelange Vertrauensverhältnisse zwischen Büchereien, Buchhandlungen und den Lesern aus. Ars Technica beäugte die übermittelten Informationen per Wireshark und fand darin enorm viele Details und Metadaten. Liza Daly stellte sogar fest, dass auch importierte EPUB-eBooks ohne DRM-Schutz in der Nutzung analysiert und übermittelt werden.
Adobe hat sich zu den Vorwürfen geäußert und ein vages Dementi vorgelegt, die unverschlüsselte Übertragung im Klartext wurde aber nicht angesprochen. Außerdem wird laut dem Softwarehersteller nur das aktuell gelesene Buch beäugt – nicht die ganze Bibliothek eines Nutzers inklusive importierter Dokumente.
Diese Eckdaten sammelt Adobe laut eigenen Angaben:
- einzigartige Benutzer-ID auf Basis der Adobe ID (sofern aktiviert, ansonsten anonymisiert)
- einzigartige Device-ID für den jeweiligen Rechner auf dem der Reader läuft
- Zertifizierte App-ID
- IP-Adresse für Geo-Location (Ortung)
- Länge der Lese-Sitzung
- Prozentanteil des Lese-Fortschritts (wohl für gewisse Zahlungsmodelle relevant, die bei weniger Leseaktivität auch kleinere Preise veranschlagen)
So oder so: Ein ziemlich tiefer Eingriff in die Privatsphäre und ein großer Sicherheitslapsus, der sich einem früheren Versagen bei der Sicherheit von (angeblich verschlüsselten) Zahlungsdaten von Adobe Creative Cloud Kunden anschließt. In der EULA des Readers wird lediglich von “angemessenen” Sicherheitsmaßnahmen gesprochen.
Auf Basis der Kritik arbeitet Adobe nun an einem Update. Wer auf den Reader angewiesen ist, kann möglicherweise adelogs.adobe.com per Host-Datei auf eine lokale IP umleiten oder die Domain komplett blocken.