35C3: Geschwätzige Android-Apps

  • Allgemein

  • mad.de
  • 66 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • 35C3: Geschwätzige Android-Apps

    Viele populäre Apps senden detaillierte Daten an Facebook – auch ohne einen Account. Eine Studie zeigt den sorglosen Umgang der Entwickler mit Kundendaten.

    Auch wer bewusst Facebook nicht nutzt, sendet mitunter einen Reihe höchst persönlicher Daten an den Konzern. Wie Frederike Kaltheuner und Christopher Weatherhead von Privacy International auf dem 35C3 in Leipzig zeigten, schicken viele Android-Apps Daten an den Social-Media-Konzern, ohne den Nutzer zu informieren.

    Beliebte Schnittstelle
    Obwohl viele der mehr als zwei Milliarden aktiven Facebook-Nutzer die Apps des Konzerns wie WhatsApp und Instagram auf ihren Smartphones installiert haben, begnügt sich der Konzern nicht mit diesen Datenquellen. So hatte bereits im Frühjahr eine ausgiebige Studie von Forschern der Universität Oxford ergeben, dass 42,55 Prozent der Apps im Google Play Store den Facebook-Tracker enthalten.

    Grund dafür ist das Android-SDK, das der Konzern App-Entwicklern anbietet, um ihnen eine einfache Möglichkeit zu geben, ihre Apps zu personalisieren oder Inhalte auf Facebook zu teilen oder Werbung einzublenden. Zwar können Entwickler die über die Schnittstelle versendeten Daten beschränken – doch die Untersuchung von Privacy International ergab, dass dies selten geschieht. So ist den Herstellern oftmals nicht bewusst, wie und welche Daten über das SDK versendet werden.

    Von der Taschenlampen-App bis zum Perioden-Tracker
    Um herauszufinden, welche Daten konkret übertragen werden, haben sich die Forscher von Privacy International 34 der beliebtesten Apps genauer angesehen – von scheinbar unverfänglichen Apps wie der Taschenlampen-App "Super-Bright LED Flashlight" über kommerzielle Plattformen wie Kayak bis zu Programmen mit persönlicherem Bezug wie Bibel-Apps oder Kalender zur Berechnung der weiblichen Periode. Alle untersuchten Apps sind jeweils auf mehr als zehn Millionen Geräten installiert.

    Erstes Ergebnis: 61 Prozent der Apps teilen gleich beim ersten Start Informationen mit Facebook – noch bevor sich die Nutzer entscheiden können, ob sie sich per Facebook einloggen oder der Datenübermittlung zustimmen wollen. Dies geschieht auch entgegen der Versprechungen der App-Hersteller. So versichert die Reise-App Kayak auf dem Start-Bildschirm, dass die App ohne Zustimmung keine Daten teilen werde – sendet laut Studie aber im Hintergrund bereits Daten an Facebook und weitere Tracking-Anbieter.

    Universelles Profil
    Neben Informationen wie der Nutzungsdauer, verwendeter Android-Version und Spracheinstellungen der Tastatur wird auch eine zentrale Information übertragen: die Google-Werbe-ID, die es ermöglicht, die Daten der unterschiedlichen Apps und sogar anderer Datenquellen zu kombinieren.

    Wie extensiv solche Datenprofile sein können, demonstrierte Kaltheuner, indem sie das eigene Profil bei einem Tracking-Anbieter anforderte. Das Ergebnis war beunruhigend. So enthielt der Datensatz nicht nur ihre komplette Surf-Historie auf dem Smartphone, sondern auch eine Reihe abgeleiteter Daten wie Alter, Geschlecht, den vermuteten Alkoholkonsum oder die Wahrscheinlichkeit Kinderkleider einzukaufen.

    Kein Konsens
    Eine Analyse des Datenverkehrs der Apps bot einige Überraschungen: "Die App Muslim Pro teilte mit, dass ich kein Kind bin, obwohl ich nie danach gefragt wurde", erklärte Weatherhead. Auch scheinen sich manche Entwickler darum zu bemühen, den expliziten Kundenwunsch der Nutzer zu umgehen – so übertrug eine App bei einem Nutzer, der personalisierte Werbung deaktiviert hatte, plötzlich deutlich mehr Daten an die Werbetracker.

    Facebook macht wie andere Tracking-Anbieter die App-Entwickler dafür verantwortlich, dass sie das Einverständnis zur Übermittlung von Daten einholen, wie es in der Datenschutz-Grundverordnung der EU vorgesehen ist. Doch die Voreinstellung des Android-SDK spricht laut Privacy International eine andere Sprache: So würden bereits ohne Zustimmung Daten übertragen, solange der Entwickler die Analytics-Funktion nicht explizit deaktiviere. Erst im Juni habe Facebook eine Funktion zur Verzögerung der Datensendung hinzugefügt.

    Wer trägt die Verantwortung?
    Die Datenschutz-Aktivisten appelieren deshalb an App-Entwickler, die Privatsphäre ihrer Kunden mehr zu achten. "Sie tragen die Verantwortung dafür, dass keine Daten übertragen werden, die nicht übertragen werden müssen", erklärte Kaltheuner in Leipzig. So dürften Entwickler nicht blindlings annehmen, dass die Voreinstellung einer Tracking-Schnittstelle rechtskonform sei – stattdessen müssten sie überprüfen, welche Einstellungsmöglichkeiten sie haben und welche Daten überhaupt übertragen werden müssten. Auch wenn Facebook in den Parlamentsanhörungen des vergangenen Jahres darauf bestanden habe, dass solche Datensammlungen der allgemeinen Branchenpraxis entsprechen, sei dies kein Grund dies auch zu akzeptieren.

    Doch die Entwickler zeigten in der Untersuchung nur wenig Problembewusstsein. Nur einer der 21 angeschriebenen Hersteller reagierte innerhalb weniger Tage auf eine entsprechende Anfrage und versprach ein Update zu veröffentlichen, das die Datensendung an Facebook unterbindet. Anderen Herstellern sei nicht bewusst gewesen, welche Daten ihre App versendet, oder hätten ein anderes Rechtsverständnis gezeigt, erklärte Kaltheuner. Die Details veröffentlicht Privacy International auf der eigenen Website.

    Tracking transparenter gestalten
    An Facebook und Google appelierten die Aktivisten, ihre Datensammelpraxis zu ändern. So gebe es keinen Grund, die Voreinstellung des SDKs so zu wählen, dass Daten unzulässig übertragen werden. Zudem müsse den Nutzern eine Möglichkeit gegeben werden, Apps gezielt auszusuchen, die keine solchen Tracker enthalten. Zwar können Android-Nutzer im Einstellungsmenü ihre Werbe-ID mit einem Klick zurücksetzen oder personalisierte Werbung abschalten, doch die Datensammlung wird damit nicht beendet.

    Quelle: 35C3: Geschwätzige Android-Apps |
    heise online