7 in 10 Smartphone Apps Teilen Sie Ihre Daten mit Diensten von Drittanbietern
Fotos von Smartphones werden auch dann mit einem Geotag versehen, wenn der Benutzer sich dessen nicht bewusst ist. Smartphone-Benutzer können ihre Datenschutzeinstellungen anpassen, um einzuschränken, wer ihre mit Geotags versehenen Standorte sehen kann. (Fotonachweis: US Army Graphic)

Unsere Mobiltelefone können verraten viel über uns: wo wir leben und arbeiten; wer unsere Familie, Freunde und Bekannte sind; wie (und sogar was) wir mit ihnen kommunizieren; und unsere persönlichen Gewohnheiten. Bei all den darauf gespeicherten Informationen ist es nicht verwunderlich, dass Benutzer mobiler Geräte Maßnahmen ergreifen, um ihre Privatsphäre zu schützen mithilfe von PINs oder Passcodes um ihre Telefone zu entsperren.

Die Forschung, die wir und unsere Kollegen durchführen, identifiziert und untersucht eine erhebliche Bedrohung, die den meisten Menschen entgeht: Mehr als 70 Prozent of Smartphone-Apps melden personenbezogene Daten an Tracking-Drittunternehmen wie Google Analytics, die Facebook Graph API oder Crashlytics.

Wenn Benutzer eine neue Android- oder iOS-App installieren, wird vor dem Zugriff auf persönliche Daten die Erlaubnis des Benutzers eingeholt. Generell ist das positiv. Und einige der Informationen, die diese Apps sammeln, sind notwendig, damit sie ordnungsgemäß funktionieren: Eine Karten-App wäre nicht annähernd so nützlich, wenn sie nicht GPS-Daten verwenden könnte, um einen Standort zu ermitteln.

Aber sobald eine App die Erlaubnis hat, diese Informationen zu sammeln, kann sie Ihre Daten mit jedem teilen, den der App-Entwickler möchte – so können Drittunternehmen verfolgen, wo Sie sich befinden, wie schnell Sie sich bewegen und was Sie tun.

Die Hilfe und Gefahr von Codebibliotheken

Eine App sammelt nicht nur Daten, um sie auf dem Telefon selbst zu verwenden. Karten-Apps senden beispielsweise Ihren Standort an einen Server, der vom App-Entwickler betrieben wird, um die Wegbeschreibung von Ihrem Standort zu einem gewünschten Ziel zu berechnen.

Innerself-Abonnieren-Grafik

Die App kann Daten auch anderswohin senden. Wie bei Websites werden viele mobile Apps durch die Kombination verschiedener Funktionen geschrieben, die von anderen Entwicklern und Unternehmen in sogenannten Drittanbieter-Bibliotheken vorprogrammiert wurden. Diese Bibliotheken helfen Entwicklern Verfolgen Sie das Benutzerengagement, mit sozialen Medien verbinden und Verdienen Sie Geld, indem Sie Anzeigen schalten und andere Funktionen, ohne sie von Grund auf neu schreiben zu müssen.

Zusätzlich zu ihrer wertvollen Hilfe sammeln die meisten Bibliotheken jedoch auch sensible Daten und senden sie an ihre Online-Server – oder an ein anderes Unternehmen. Erfolgreiche Bibliotheksautoren sind möglicherweise in der Lage, detaillierte digitale Benutzerprofile zu erstellen. Beispielsweise könnte eine Person einer App die Berechtigung erteilen, ihren Standort zu erfahren, und einer anderen App Zugriff auf ihre Kontakte gewähren. Dabei handelt es sich zunächst um separate Berechtigungen, eine für jede App. Wenn jedoch beide Apps dieselbe Bibliothek eines Drittanbieters verwenden und unterschiedliche Informationen gemeinsam nutzen würden, könnte der Entwickler der Bibliothek die Teile miteinander verknüpfen.

Benutzer würden es nie erfahren, da Apps den Benutzern nicht mitteilen müssen, welche Softwarebibliotheken sie verwenden. Und nur sehr wenige Apps veröffentlichen ihre Richtlinien zum Datenschutz der Benutzer. Wenn dies der Fall ist, handelt es sich in langen Rechtsdokumenten normalerweise um eine normale Person Ich werde es nicht lesen, geschweige denn verstehen.

Lumen entwickeln

Ziel unserer Forschung ist es herauszufinden, wie viele Daten potenziell ohne Wissen der Nutzer erfasst werden, und den Nutzern mehr Kontrolle über ihre Daten zu geben. Um ein Bild davon zu bekommen, was Daten werden von den Smartphones der Menschen gesammelt und übertragen, haben wir eine eigene kostenlose Android-App namens entwickelt Lumen Privacy Monitor. Es analysiert den von Apps gesendeten Datenverkehr, um zu ermitteln, welche Anwendungen und Online-Dienste aktiv personenbezogene Daten sammeln.

Da es bei Lumen um Transparenz geht, kann ein Telefonbenutzer in Echtzeit sehen, welche Informationen installierte Apps sammeln und mit wem er diese Daten teilt. Wir versuchen, die Details des verborgenen Verhaltens von Apps auf leicht verständliche Weise darzustellen. Da es sich auch um Forschung handelt, fragen wir die Benutzer, ob sie uns erlauben, einige Daten darüber zu sammeln, was Lumen bei ihren Apps beobachtet – aber dazu gehören keine persönlichen oder datenschutzrelevanten Daten. Dieser einzigartige Zugriff auf Daten ermöglicht es uns zu untersuchen, wie mobile Apps die persönlichen Daten der Benutzer sammeln und mit wem sie Daten in beispiellosem Umfang teilen.

Lumen verfolgt insbesondere, welche Apps auf den Geräten der Benutzer ausgeführt werden, ob sie datenschutzrelevante Daten über das Telefon senden, an welche Internetseiten sie Daten senden, welches Netzwerkprotokoll sie verwenden und welche Arten persönlicher Informationen jede App enthält sendet an jede Site. Lumen analysiert den App-Verkehr lokal auf dem Gerät und anonymisiert diese Daten, bevor es sie zur Untersuchung an uns sendet: Wenn Google Maps den GPS-Standort eines Benutzers registriert und diese spezifische Adresse an maps.google.com sendet, teilt uns Lumen mit: „Google Maps hat einen GPS-Standort erfasst und an „maps.google.com“ gesendet – nicht dort, wo sich diese Person tatsächlich befindet.

Tracker gibt es überall

Mehr als 1,600 Menschen, die Lumen seit Oktober 2015 genutzt haben, ermöglichten uns die Analyse von mehr als 5,000 Apps. Wir haben 598 Internetseiten entdeckt, die wahrscheinlich Benutzer zu Werbezwecken verfolgen, darunter Social-Media-Dienste wie Facebook, große Internetunternehmen wie Google und Yahoo sowie Online-Marketing-Unternehmen unter dem Dach von Internetdienstanbietern wie Verizon Wireless.

Wir haben das gefunden mehr als 70 Prozent der von uns untersuchten Apps mit mindestens einem Tracker verbunden, und 15 Prozent von ihnen waren mit fünf oder mehr Trackern verbunden. Jeder vierte Tracker erfasste mindestens eine eindeutige Gerätekennung, beispielsweise die Telefonnummer oder deren Telefonnummer gerätespezifische, eindeutige 15-stellige IMEI-Nummer. Eindeutige Kennungen sind für Online-Tracking-Dienste von entscheidender Bedeutung, da sie verschiedene Arten personenbezogener Daten, die von verschiedenen Apps bereitgestellt werden, einer einzelnen Person oder einem einzelnen Gerät zuordnen können. Die meisten Benutzer, selbst datenschutzbewusste Benutzer, sind sich dieser versteckten Praktiken nicht bewusst.

Mehr als nur ein mobiles Problem

Die Verfolgung von Benutzern auf ihren Mobilgeräten ist nur ein Teil eines größeren Problems. Mehr als die Hälfte der von uns identifizierten App-Tracker verfolgen Benutzer auch über Websites. Dank dieser Technik, die als „Cross-Device“-Tracking bezeichnet wird, können diese Dienste ein viel vollständigeres Profil Ihrer Online-Persönlichkeit erstellen.

Und einzelne Tracking-Sites sind nicht unbedingt unabhängig von anderen. Einige von ihnen gehören derselben Unternehmenseinheit – andere könnten bei künftigen Fusionen aufgehen. Beispielsweise besitzt Alphabet, die Muttergesellschaft von Google, mehrere der von uns untersuchten Tracking-Domains, darunter Google Analytics. Doubleclick oder AdMob und sammelt über sie Daten von mehr als 48 Prozent der von uns untersuchten Apps.

Die Online-Identitäten der Benutzer sind nicht durch die Gesetze ihres Heimatlandes geschützt. Wir haben festgestellt, dass Daten über nationale Grenzen hinweg versendet werden und oft in Ländern mit fragwürdigen Datenschutzgesetzen landen. Mehr als 60 Prozent der Verbindungen zu Tracking-Sites werden zu Servern in den USA, Großbritannien, Frankreich, Singapur, China und Südkorea hergestellt – sechs Ländern, die den Einsatz bereitgestellt haben Massenüberwachungstechnologien. Regierungsbehörden an diesen Orten könnten möglicherweise Zugriff auf diese Daten haben, selbst wenn sich die Benutzer dort befinden Länder mit strengeren Datenschutzgesetzen wie Deutschland, Schweiz oder Spanien.

Verbinden der MAC-Adresse eines Geräts mit einer physischen Adresse (die zu ICSI gehört) mithilfe von Wigle.
Verbinden der MAC-Adresse eines Geräts mit einer physischen Adresse (die zu ICSI gehört) mithilfe von Wigle. ICSI, CC BY-ND

Noch beunruhigender ist, dass wir Tracker in Apps beobachtet haben, die auf Kinder ausgerichtet sind. Beim Testen von 111 Kinder-Apps in unserem Labor haben wir festgestellt, dass 11 von ihnen eine eindeutige Kennung preisgegeben haben, die MAC-Adresse, des WLAN-Routers, mit dem es verbunden war. Das ist ein Problem, weil es einfach ist Suche online für physische Standorte, die bestimmten MAC-Adressen zugeordnet sind. Das Sammeln privater Informationen über Kinder, einschließlich ihres Standorts, ihrer Konten und anderer eindeutiger Identifikatoren, verstößt möglicherweise gegen die Bestimmungen der Federal Trade Commission Regeln zum Schutz der Privatsphäre von Kindern.

Nur ein kleiner Blick

Obwohl unsere Daten viele der beliebtesten Android-Apps umfassen, handelt es sich hierbei um eine kleine Stichprobe von Benutzern und Apps und daher wahrscheinlich um eine kleine Gruppe aller möglichen Tracker. Unsere Ergebnisse kratzen möglicherweise nur an der Oberfläche eines wahrscheinlich viel größeren Problems, das sich über alle Regulierungsbehörden, Geräte und Plattformen erstreckt.

Es ist schwer zu wissen, was Benutzer dagegen tun könnten. Wenn vertrauliche Informationen daran gehindert werden, das Telefon zu verlassen, kann dies die App-Leistung oder das Benutzererlebnis beeinträchtigen: Eine App funktioniert möglicherweise nicht mehr, wenn sie keine Anzeigen laden kann. Tatsächlich schadet das Blockieren von Anzeigen App-Entwicklern, da ihnen eine Einnahmequelle zur Unterstützung ihrer Arbeit an Apps entzogen wird, die für Benutzer normalerweise kostenlos sind.

Wenn die Leute eher bereit wären, Entwickler für Apps zu bezahlen, könnte das helfen, obwohl es keine vollständige Lösung ist. Wir haben herausgefunden, dass kostenpflichtige Apps zwar tendenziell weniger Tracking-Sites kontaktieren, aber dennoch Benutzer verfolgen und sich mit Tracking-Diensten von Drittanbietern verbinden.

Das GesprächTransparenz, Aufklärung und starke regulatorische Rahmenbedingungen sind der Schlüssel. Benutzer müssen wissen, welche Informationen über sie von wem gesammelt werden und wofür sie verwendet werden. Nur dann können wir als Gesellschaft entscheiden, welche Datenschutzmaßnahmen angemessen sind, und diese umsetzen. Unsere Erkenntnisse und die vieler anderer Forscher können dabei helfen, den Spieß umzudrehen und die Tracker selbst aufzuspüren.

Über den Autor

Narseo Vallina-Rodriguez, Forschungsassistent, IMDEA Networks Institute, Madrid, Spanien; Forschungswissenschaftler, Netzwerk und Sicherheit, International Computer Science Institute mit Sitz in, University of California, Berkeley und Srikanth Sundaresan, wissenschaftlicher Mitarbeiter in Informatik, Princeton University

Dieser Artikel wurde ursprünglich veröffentlicht am Das Gespräch.. Lies das Original Artikel.

Bücher zum Thema:

at InnerSelf Market und Amazon