Nextcloud: Datenschutzkritischer Bug in Android-App?

[English]In der Android-App für Nextcloud gibt es wohl einen Bug, der im Hinblick auf Datenschutz nicht unkritisch ist. Uploads von Medieninhalten werden auf verschiedene Ordner unterschiedlicher Instanzen (Konten) verteilt, auch wenn der Nutzer das gar nicht so vorgesehen hat.

Nextcloud und die Android-App

Nextcloud ist eine auf einem ownCloud-Fork (entwickelt von Frank Karlitschek) basierende, in PHP seit entwickelte freie Software für das Speichern von Daten (z. B. Dateien, Kalendern, Kontakten etc.) auf einem Server. Das Projekt Nextcloud wird seit 2016 von Karlitschek und weiteren Entwicklern im Team weiter entwickelt.

Im Gegensatz zur Public Cloud von Amazon, Apple, Google, Microsoft können Anwender Nextcloud auf einem eigenen Server hosten und behalten die Kontrolle über diese Instanz. Der oder die Anwender können sowohl über eine Weboberfläche als auch mit Client-Applikationen (Smartphone und Desktop) auf die Nextcloud-Daten zugreifen. Dies ermöglicht dem Anwender, auf einen zentralen und konsistenten Datenbestand von vielen Endgeräten aus zuzugreifen und diesen mit anderen Anwendern optional zu teilen. Neben der Datenhaltung bietet Nextcloud Funktionalitäten für Videokonferenzen und verschiedene Office-Applikationen über die Weboberfläche.

Für Android gibt es die in oben gezeigtem Screenshot erwähnte App, die den Zugriff auf alle Dateien in der Nextcloud ermöglicht. Über die Oberfläche der App lassen sich Dateien (auch Fotos und Videos) auf den eigenen Nextcloud-Server hochladen, synchronisieren,  und mit Dritten teilen. Die App unterstützt auch mehrere Nextcloud-Konten gleichzeitig.

Android-App: Bug schiebt Dateien in mehrere Ordner

Blog-Leser Sebastian W. hat mich die Tage per E-Mail kontaktiert (danke dafür), weil ihm ein Bug in der Android-App aufgefallen ist, der nicht nur unschön sondern auch Datenschutz-relevant ist. Laut Sebastian hat die aktuelle Android-Version des Nextcloud-Clients (die Version 3.32.3 der Android-App ist am 21.08.2025 erschienen) einen unangenehmen, datenschutzrelevanten Fehler. Voraussetzung, damit der Bug in der Android-App wirksam wird ist:

• Der Nutzer hat die Android-App als Client für mehrere Nextcloud-Instanzen (d.h. Konten) konfiguriert und verbunden.
• Das automatische Hochladen und Synchronisieren von neuen Bildern ist aktiviert (das wird gerne für Smartphone-Kameraaufnahmen gemacht).

Sind beide Bedingungen erfüllt, lädt die Android-App neue Dateien in die Nextcloud-Instanzen hoch. Das Problem:

• Diese Bilder und Videos landen laut Sebastian zwar, wie in früheren Versionen, automatisch im angegebenen Ordner in der Nextcloud.
• Zusätzlich wird nun allerdings auch jeweils ein Ordner in den anderen Nextcloud-Instanzen erzeugt und alle Bilder/Videos werden dort ebenfalls hochgeladen, und dies, obwohl für diese Instanzen gar kein automatischer Upload eingestellt ist.

Sebastian merkt an, dass dies natürlich schnell unangenehm werden kann, wenn man z.B. parallel zu einer privaten auch eine geschäftliche Nextcloud-Anbindung nutzt, die durch den Arbeitgeber administriert wird.

Bug gemeldet, Entwickler sitzen dran

Sebastian hat den Bug, der den Nextcloud Android-Client 3.32.3 betrifft, über Github gemeldet, siehe den Bug-Tracker-Eintrag Auto-upload goes wild – possible security breach von Anfang September 2025. Zur Zeit arbeitet auch mindestens ein Entwickler aktiv an der Fehleranalyse – und aktuell ist der Bug-Report bereits als "closed" markiert (dürfte wohl bald gefixt werden).

Sebastian meint dazu: "Auf jeden Fall freut sich sicherlich manch einer über eine entsprechende Warnung zur aktuellen "Gefahr" verbunden mit erhöhter Aufmerksamkeit für das nächste Nextcloud-Update, welches diesen Fehler dann hoffentlich beseitigt.

Ähnliche Artikel:
Nextcloud: Android Client 3.30.1 synct sich zu Tode
BSI-Analyse von OSS Nextcloud legt Schwachstellen offen
Probleme und Fixes: Nextcloud, ChromeCast, YouTube, Samsung Sound Bar
CDU erneut gerettet – deren NextCloud-Server ist wieder online und gepatcht