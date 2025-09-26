Die App Neon versprach den Nutzer:innen, dass sie mit Telefongesprächen Geld verdienen können – und ging innerhalb kürzester Zeit viral. Wie Techcrunch berichtet, ist sie jetzt allerdings schon wieder offline. Der Grund: Im Rahmen eines Tests entdeckte die Redaktion eine Sicherheitslücke, die Gesprächsdaten offenlegte.

Große Sprachmodelle benötigen Unmengen an Trainingsdaten. Die App Neon wollte genau daraus ein Geschäftsmodell machen. Die Idee: Nutzer:innen können Geld verdienen, indem sie ihre Telefongespräche aufzeichnen. Die dadurch generierten Datensätze sollten an KI-Unternehmen weiterverkauft werden, um Modelle zu testen und zu verbessern. Seit dem Start der App in der vergangenen Woche ist Neon schnell in die Top 5 der kostenlosen iPhone-Apps aufgestiegen. Laut dem Analyse-Tool Appfigures wurde sie innerhalb nur eines Tages rund 75.000 Mal heruntergeladen. Nachdem eine Sicherheitslücke den Zugriff auf die Telefonnummern, Anrufaufzeichnungen und Transkripte anderer Nutzer:innen ermöglicht hatte, ist die App jetzt allerdings schon wieder offline.

Techcrunch hatte die Sicherheitslücke während eines Tests selbst entdeckt. Das Problem: Die Server der App verhinderten nicht, dass eingeloggte Nutzer:innen auf die Daten anderer zugreifen konnten. Die Redaktion testete Neon auf einem separaten iPhone und untersuchte mithilfe des Netzwerkanalysetools Burp Suite die Datenströme zwischen App und Server. Dabei zeigte sich, dass neben den Gesprächsübersichten auch vertrauliche Daten abrufbar waren. Nach einigen Testanrufen zeigte die App eine Liste der letzten Gespräche und den damit erzielten Gewinn. Das Tool enthüllte allerdings auch Details, die andere Nutzer:innen nicht sehen konnten – darunter Transkripte der Gespräche und Weblinks zu den Audio-Dateien, die über den Link öffentlich zugänglich waren.

Sicherheitslücken sind keine Seltenheit

Die Server ließen sich außerdem so manipulieren, dass sie Metadaten zu anderen Anrufen preisgaben, darunter Zeitpunkt und Dauer des Anrufs sowie die Nummern der Nutzer:innen und ihrer Gesprächspartner:innen. Der Gründer Alex Kiam wurde von Techcrunch umgehend über die Sicherheitslücke informiert. Später am selben Tag meldete er der Redaktion zurück, dass er die Server der App heruntergefahren und damit begonnen habe, die Nutzer:innen über eine Pausierung der App zu informieren. „Ihr Datenschutz hat für uns oberste Priorität und wir möchten sicherstellen, dass er auch in dieser Zeit des schnellen Wachstums gewährleistet werden kann. Aus diesem Grund deaktivieren wir die App vorübergehend, um zusätzliche Sicherheitsebenen hinzuzufügen“, hieß es in der E-Mail an die Nutzer:innen. Dabei wurde allerdings nicht erwähnt, dass es überhaupt eine Sicherheitslücke gab oder dass Telefonnummern, Aufzeichnungen und Transkripte offengelegt wurden.

Ob Neon nach diesem Vorfall bald wieder in den App-Stores verfügbar sein wird, bleibt abzuwarten. Klar ist: Es ist nicht der erste Fall, bei dem eine App mit Sicherheitslücken in den Stores von Google und Apple landet. Auch bei bekannten Dating-Apps wie Bumble und Hinge wurde im vergangenen Jahr bekannt, dass die Standorte der Nutzer:innen geleakt wurden. Auf die Frage, ob Neon vor dem Start einer Sicherheitsprüfung unterzogen wurde, wollte Kiam nicht antworten. Ebenso blieb offen, ob das Unternehmen technische Mittel wie Logs nutzt, um festzustellen, ob bereits vor der Techcrunch-Redaktion jemand die Sicherheitslücke entdeckt und unerlaubt auf Nutzerdaten zugegriffen hat.