Zahlreiche bekannte Apps senden umfangreiche Daten an Facebook – auch ohne einen eignen Account. Den sorglosen Umgang der Entwickler mit Kundendaten zeigt eine aktuelle Studie. Fazit bei dem 35C3: Schwatzhafte Android-Apps sind im Umlauf.
Auch wer keinen Facebook-Account besitzt, sendet teilweise sehr persönliche Daten an den amerikanischen Konzern. Bei dem 35. Chaos Communication Congress – kurz 35C3 – in Leipzig zeigten Frederike Kaltheuner und Christopher Weatherhead von Privacy International, dass viele Android-Apps persönliche Daten an Facebook senden, ohne den Nutzer darüber in Kenntnis zu setzen. Der jährliche Kongress beschäftigt sich mit Themen rund um die Computersicherheit, Informationstechnologie und den kritisch-schöpferischen Umgang mit Technologie und deren gesellschaftlichen Auswirkungen.
Mehr als 40 Prozent der Google Play Store Apps enthalten Facebook-Tracker
Die Mehrheit der mehr als zwei Milliarden aktiven Facebook-Nutzer hat die Apps des Konzerns wie Instagram und WhatsApp auf ihrem Smartphone installiert. Diese bereits bestehenden Datenquellen reichen dem Konzern aber nicht aus. Laut einer Studie der Universität Oxford, enthalten 42,55 Prozent der Apps im Google Play Store einen Facebook-Tracker.
Dahinter steckt das Android-SDK, das App-Entwicklern vom Konzern angeboten wird, um ihre beispielsweise zu personalisieren, Werbung auf Facebook einzublenden oder Inhalte zu teilen. Die Entwickler haben dabei die Möglichkeit, die über die Schnittstelle versendeten Daten zu beschränken, was laut Privacy International jedoch selten geschieht. Das Ergebnis: Den Herstellern ist oftmals nicht bewusst, welche Daten und wie diese über das SDK versendet werden.
61 Prozent der Apps teilen Informationen mit Facebook bereits beim Start
Die Forscher Privacy International haben sich 34 der beliebtesten Apps genauer angesehen, um herauszufinden, welche Daten konkret übermittelt werden. Unter den untersuchten Apps waren von der Taschenlampen-App „Super-Bright LED Flashlight“ über Bibel-Apps, kommerzielle Plattformen wie Kajak bis zum Kalender zur Berechnung der weiblichen Periode alles dabei und sind jeweils auf mehr als zehn Millionen Geräten installiert.
Das erste Ergebnis der Untersuchung: Gleich beim Start teilen bereits 61 Prozent der Apps Informationen mit Facebook – und das, bevor sich der User überhaupt entscheiden kann, ob er sich über Facebook einloggen oder der Datenübermittlung zustimmen will. Dieses Vorgehen wird auch entgegen der Versprechen der App-Hersteller umgesetzt. Beispielsweise versichert die Reise-App Kajak auf dem Startbildschirm der App, dass keine Daten ohne die Zustimmung des Users geteilt werden. Laut Studie sendet die App aber bereits im Hintergrund Daten an Facebook und an weitere Tracking-Anbieter.
(Ungewollt) Aussagekräftiges Profil
Neben Informationen wie der verwendeten Android-Version, der Nutzungsdauer sowie der Spracheinstellungen der Tastatur, wird sogar die Google-Werbe-ID übertragen, die eine Kombination der Daten unterschiedlicher Apps und anderer Datenquellen ermöglicht.
Frederike Kaltheuner von Privacy International demonstrierte auf der 35C3, wie extensiv diese Datenprofile sein können, indem sie ihr eigenes Profil bei einem Tracking-Anbieter anforderte und ein beunruhigendes Ergebnis erhielt: Nicht nur, dass der Datensatz ihre komplette Surf-Historie auf dem Smartphone beinhaltete, wurden auch eine Reihe anderer Daten abgeleitet, wie ihr Alter, ihr Geschlecht, ihr vermuteter Alkoholkonsum sowie die Wahrscheinlichkeit, Kinderbekleidung zu shoppen.
Keine Übereinstimmung
Einige Überraschungen bot die Analyse des Datenverkehrs. Weatherhead erklärte: „Die App Muslim Pro teilte mit, dass ich kein Kind bin, obwohl ich nie danach gefragt wurde“. Einige Entwickler scheinen sich zu bemühen, den expliziten Kundenwunsch der User zu umgehen. So wurden beispielsweise bei einer App plötzlich mehr Daten des betreffenden Nutzers an die Werbetracker übertragen, obwohl dieser personalisierte Werbung deaktiviert hatte.
Wie andere Tracking-Anbieter macht Facebook die App-Entwickler dafür verantwortlich, das Einverständnis zur Dateneinholung nach der Datenschutzgrundverordnung der EU einzuholen. Laut Privacy International spricht die Voreinstellung des Android-SDK jedoch eine andere Sprache: Daten werden demnach auch ohne Zustimmung übertragen, solange die Analytics-Funktion vom Entwickler nicht deaktiviert wird. Facebook fügte erst im Juni 2018 eine Funktion zur Verzögerung der Datensendung hinzu.
Wer ist verantwortlich?
Datenschutz-Aktivisten appellieren an die App-Entwickler, die Privatsphäre ihrer Kunden mehr zu achten. Kaltheuner betonte: „Sie tragen die Verantwortung dafür, dass keine Daten übertragen werden, die nicht übertragen werden müssen.“ Entwickler dürfen demnach nicht einfach annehmen, dass die Voreinstellung einer Tracking-Schnittstelle rechtskonform ist und überprüfen, welche Einstellungsmöglichkeiten sie haben und welche Daten tatsächlich übertragen werden müssen.
Bisher zeigen die Entwickler jedoch nur wenig Problembewusstsein. Nur 21 der angeschriebenen Hersteller versprachen ein Update zu veröffentlichen, welches die Datensendung an Facebook unterbindet. Andere Hersteller meinten, dass ihnen nicht bewusst gewesen wäre, welche Daten ihre App verarbeitet oder sie zeigten ein anderes Rechtsverständnis. Die detaillierte Studie von Privacy International ist unter https://privacyinternational.org/appdata veröffentlicht.
Aktivisten appellieren an Facebook und Google
Die Aktivisten appellieren an Facebook und Google, das Vorgehen zur Datensammlung zu ändern. Es gebe keinen Grund, die Voreinstellung des SDKs so zu wählen, dass persönliche Daten unzulässig übermittelt werden. Außerdem müsse den Usern die Möglichkeit gegeben werden, Apps zu wählen, die keine derartigen Tracker enthalten. Android-Nutzer können im Einstellungsmenü zwar ihre Werbe-ID mit einem Klick zurücksetzen oder personalisierte Werbung deaktivieren, jedoch sei damit die Datensammlung nicht beendet.
Quellen:
https://www.heise.de/newsticker/meldung/35C3-Geschwaetzige-Android-Apps-4260084.html
https://www.leipzig.de/news/news/35-chaos-communication-congress-35c3/