Channel Header
2418142

Android-Apps haben die Tracker-Seuche

26.03.2019 | 09:58 Uhr | Frank Ziemann

Die Mehrzahl der untersuchten Android-Apps enthält Tracker, die Nutzungsdaten an Unternehmen senden. Die Daten gehen nicht nur an Google, sondern auch an Drittfirmen.

Eine Gruppe französischer Sicherheitsforscher und Hacktivisten hat ein Verfahren entwickelt, um mehr als 180 Tracker in Android-Apps aufzuspüren. Ihr Ansatz ähnelt dem eines klassischen Virenscanners. Die Software der Non-Profit-Organisation Exodus Privacy untersucht die APK-Dateien (Installationspakete) der Apps auf Code-Signaturen bekannter Tracker.

Nach mehr als 50.000 in den letzten 18 Monaten untersuchten Apps ergibt sich ein klarer werdendes Bild. Die Mehrzahl der populären Apps ist mit Tracker-Code regelrecht verseucht. Mehr als ein halbes Dutzend Tracker pro App ist keineswegs ungewöhnlich, kein einziger gefundener Tracker eher die Ausnahme. Die Eurosport-App enthält 34 Tracker, die der TV-Zeitschrift Hörzu 20 und Microsoft Outlook bringt immerhin 11 Tracker mit.

So finden sich Tracker wie Google Firebase Analytics und Google Ads in mehr als der Hälfte der bislang untersuchten Apps. Ein Viertel der Apps enthält einen oder mehrere Facebook-Tracker. Noch verstörender ist die breite Präsenz der Tracker von Drittfirmen wie Flurry, InMobi oder AppsFlyer. Das bedeutet, dass Nutzungsdaten der App-Nutzer, teils auch persönliche Daten, in aller Regel ohne deren Wissen an Unternehmen abfließen, von denen die Nutzer meist noch nie etwas gehört haben. Diese haben ihren Sitz zum Teil in Ländern wie Israel (AppsFlyer), den USA (Flurry), Indien (InMobi) oder Ägypten, wo die Privatsphäre der Anwender nicht viel gilt, wenn es ums Geldverdienen geht. Einige der Datensammler geben auf ihrer Website offen zu, dass sie selbst persönlich identifizierbare Daten an weitere Drittfirmen weitergeben.

Aus dem weiter wachsenden Fundus der Datenbank der Organisation Exodus Privacy haben wir beispielhaft einige populäre Apps herausgegriffen, um Ihnen zu zeigen, dass in praktisch jeder App-Kategorie mit Tracking gerechnet werden muss. Alle Analyseergebnisse stammen aus dem März 2019, auch wenn es sich nicht in jedem Fall um die aktuellste App-Version handelt. Neben Facebook und Google haben wir exemplarisch drei Tracker von Unternehmen ausgewählt, deren einziger Existenzzweck das Sammeln, Analysieren und Weitergeben der ausgeleiteten Daten ist.

Name

Version

Anzahl Tracker

Facebook

Google

AppsFlyer

Flurry

InMobi

Facebook

212.0.0.28.110

0

Facebook Messenger

207.0.0.13.99

5

3

1

Instagram

85.0.0.21.100

1

1

WhatsApp

2.19.69

1

1

Signal Private Messenger

4.36.2

0

Telegram

5.4.0

2

1

Text Me

3.15.5

31

5

5

1

1

1

Tinder

10.0.1

16

4

3

1

1

1

Spotify

8.4.97.807

10

3

4

Deezer Music

6.0.8.103

20

3

4

1

1

1&1 Mail

6.2.2

3

3

GMail

9.2.3.235065705.rel

1

1

K-9 Mail

5.600

0

Microsoft Outlook

3.0.26

11

4

2

1

1

Chrome

64.0.3282.137

0

Firefox

65.0.1

2

Opera

50.3.2426.136976

12

4

2

1

1

1

LastPass Password Manager

4.4.2024

11

3

4

WPS Office + PDF

11.5.1

12

3

3

1

1

1

Angry Birds Classic

8.0.0

12

5

1

1

Candy Crush Soda Saga

1.131.2

9

4

2

1

1

Fruits Bomb

3.3.3179

24

5

2

1

1

LEGO BOOST

1.7.0

1

Pokémon GO

0.137.2

7

4

MyFRITZ!App 2

2.12.4

1

1

PowerDirector - Video Editor

5.3.2

11

4

5

1

1

Movie Maker

5.2.9.1

11

4

5

1

Open Camera

1.45.2

0

VLC Media Player

3.0.13

0

WarnWetter

2.0.2

2

2

Hörzu TV Programm

1.0.25

20

1

5

1

1

TV Movie - TV Programm

1.5.52

22

1

4

1

1

TV SPIELFILM - TV-Programm

6.7.0

12

4

4

NRJ Radios

5.0.3

25

5

4

1

1

Filmstarts: Kino, Film, Serien

7.0.3

28

5

5

1

1

Eurosport

5.19.1

34

5

5

1

1

1

SPORT1

3.5.8

25

1

5

1

1

mobile.de

7.3.3

24

1

5

1

1

AutoScout24

9.4.26

18

5

4

1

1

WELT News – Nachrichten live

4.8.6.1

25

1

4

1

1

Es mag zunächst überraschen, ausgerechnet in den Facebook-eigenen Apps wie der Facebook-App, WhatApp oder Instagram keine oder nur einen Tracker zu finden. Doch Facebook ist natürlich nicht auf die Tracker der Drittanbieter angewiesen. Es hat genug eigene Kapazitäten und Methoden zur Datensammlung und -analyse. Und zweifellos bekommt Facebook alle Daten aus seinen Apps, die es haben will.

Unter den Apps, in denen Exodus Privacy keine Tracker entdeckt hat, findet sich die eine oder andere Perle aus dem Bereich Open Source, etwa der Messenger Signal, der VLC Media Player oder die Mail-App K-9 Mail. Wenn Exodus keine Tracker gefunden hat, heißt das nicht zwingend, dass keine enthalten sind. Wenn es welche findet, müssen die nicht notwendigerweise auch alle aktiv genutzt werden. Und nicht alle Tracker verletzen die Privatsphäre.

Mancher Tracker dient tatsächlich nur den App-Entwicklern, etwa Microsofts HockeyApp. Programmierer erhalten anonymisierte Berichte über Programmabstürze und andere Probleme. So kann ein App-Entwickler etwa erfahren, wenn seine App unter einer bestimmten Android-Version immer wieder Fehlfunktionen zeigt, die bei anderen Android-Versionen nicht auftreten. Manche App-Entwicklungsbaukästen (SDKs) wie Google Firebase enthalten solche Funktionen. Ob der Entwickler sie nutzt, ist seine Entscheidung. Er kann auch den Benutzer vorab um Zustimmung dazu bitten. Doch die großen Unternehmen verstecken die Informationen über genutzte Tracker lieber in umfangreichen Datenschutzerklärungen, die sich kaum jemand durchliest.

Berechtigungen

Exodus Privacy zeigt außerdem auch die Berechtigungen an, die jede App anfordert. Dabei stufen die Hacktivisten einige der Berechtigungen als gefährlich ein. Doch hier ist Vorsicht mit Pauschalurteilen geboten. Dass eine Foto-App Zugriff auf die Kamera braucht, liegt auf der Hand. Wenn sie auch auf die Kontakte zugreifen will, ist das schon eher ein Anlass Verdacht zu schöpfen. Auch die bloße Zahl der Berechtigungen sagt noch nicht viel aus. Es kommt immer auf den Zweck einer App an, ob bestimmte Berechtigungen plausibel oder bedenklich sind.

Wie können Sie sich wehren?

Zunächst können Sie die Apps, die Sie installiert haben, auf ihren Tracker-Gehalt untersuchen (lassen). Suchen Sie in der Exodus-Datenbank nach den Apps. Gibt es für Ihrem Suchbegriff zu viele Treffer, schauen Sie in Google Play nach der Android-Kennung der App (etwa „com.facebook.katana“ für die Facebook-App). Sie steckt in der Play-Store-URL. Nutzen Sie diese Kennung als Suchbegriff. Werden Sie nicht fündig, können Sie mit dieser Kennung bei Exodus eine Analyse anfordern – das ist kostenlos.

Die Exodus-Privacy-App zeigt in Apps enthaltene Tracker
Vergrößern Die Exodus-Privacy-App zeigt in Apps enthaltene Tracker

Sie können auch die Exodus-Privacy-App installieren, um einen Analysebericht aller installierten Apps zu erhalten. Es gibt diese App allerdings nicht in Google Play, denn sie verstößt naturgemäß gegen Googles Interessen und Richtlinien. Sie finden sie aber in alternativen App Stores wie F-Droid. Um sie installieren zu können, müssen Sie (vorübergehend ! ) die Installation aus anderen Quellen als dem Play Store zulassen. Die entsprechende Option finden Sie in den Einstellungen unter Sicherheit.

Mit den Ergebnissen können Sie entscheiden, welche Apps Sie weiter nutzen wollen und für welche Sie lieber nach Alternativen suchen. Apps, die zudem mit aggressiver Werbung nerven, können Sie mit der App „Blokada“ in die Schranken weisen. Wie der Name verspricht, blockiert diese App Werbung und auch Tracker. Da sie zu diesem Zweck eine VPN-Verbindung simuliert, kann Blokada nicht zusammen mit einer VPN-App genutzt werden. An einer Lösung dieses Problems arbeiten die Entwickler der Open-Source-App bereits.

VPN-Apps für Android haben wir uns unter dem Aspekt Tracker ebenfalls angesehen. Dazu in Kürze mehr.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2418142