Smartphone-Apps kontaktieren heimlich Werbenetzwerke und geben Nutzerdaten weiter. Ein einziges Programm steuert allein 2000 fremde Server an. Das Gefährliche für Nutzer: Schnüffeln ist keine Ausnahme – sondern die Regel.
Ein Albtraum jedes Smartphone-Nutzers: Während der arglose Besitzer sein Handy beiseitegelegt hat, baut es heimlich, still und leise Datenverbindungen im Hintergrund zu Dritten auf. Das Smartphone ist fur die meisten Menschen der wichtigste Datenspeicher. Auf ihm befinden sich E-Mails, Adressen, Telefonnummern, es enthält sämtliche Kommunikation mit Facebook und Whatsapp, den Kalender, die Fotos und eine Historie der Standorte. Schon mit der Verknupfung weniger Informationen lassen sich detaillierte Profile seines Besitzers erstellen.
Der Daten-Albtraum ist fur Nutzer eines Google-Geräts bereits eingetreten. Franzosische Sicherheitsforscher des Unternehmens Eurecom haben 2000 Gratis-Apps fur Android-Smartphones aus 25 verschiedenen Kategorien im Google Play Store geladen und auf einem Samsung-Smartphone ausgefuhrt. Der Netzwerkverkehr der Apps nach außen wurde abgefangen und analysiert. Demnach steuerten die Programme heimlich insgesamt 250 000 verschiedene Webadressen an und gaben Daten weiter.
Spionageapp mit exzellenter Bewertung
Der Spitzenreiter ist Music Volume EQ, eine Equalizer-App zur akustischen Klangeinstellung, die sich im Hintergrund mit 2000 verschiedenen Servern verbindet. Die App ist bis heute im Google Play-Store mit einer exzellenten Nutzerwertung (4,2 von 5 Sternen) ladbar. Hinweise auf ihre Spionagetätigkeit gibt es nicht, auch nicht vom Shop-Betreiber Google. Das wundert kaum, denn, wie Eurecom weiter ermittelte, werden die am häufigsten kontaktierten Adressen unter anderem auch von Google betrieben. Es sind Werbenetzwerke und Analysedienste.
Die App-Entwickler sammeln also Nutzerdaten nicht fur sich selbst, sondern fur Unternehmen, die mit moglichst vielen Daten passgenaue Anzeigen auf den Mobilgeräten plazieren wollen. Der Trick ist abermals die Verknupfung von Informationen: Eine App meldet den Standort, die nächste Geräteinformationen und eine weitere die E-Mail-Adresse. Mit der Werbe-ID von Google werden die drei Informationshäppchen auf den jeweiligen Nutzer zuruckgefuhrt.
Setzt man die Werbe-ID zuruck, kommt sofort eine neue
Seit 2014 fordert Google von allen neu veroffentlichten Apps die Nutzung der Werbe-ID. Sie ist offiziell als Tracking-Tool fur Websites gedacht, um zielgerichtete Reklame zu präsentieren. Man kann seine Werbe-ID zurucksetzen (in der App „Google Einstellungen“ unter „Anzeigen“) und das Einblenden interessenbezogener Anzeigen deaktivieren. Aber das ist nur Kosmetik: Setzt man die Werbe-ID zuruck, wird sofort eine neue generiert, und durch die an die einzelnen Informationshäppchen angehängten Kennnummern kann der Trackingdienst die Verknupfungen abermals vornehmen.
Während Google immer wieder beteuert, dass die Werbe-IDs „anonym“ seien, sind Dienstleister wie Crosswise, Tapad und Drawbridge längst dazu ubergangen, einzelne Nutzer vollständig zu identifizieren, mittlerweile sogar uber mehrere Geräte hinweg. Weil ein Großteil der Suchanfragen auf mobilen Geräten läuft, aber der Kauf eines Produkts uberwiegend am Computer getätigt wird, will man die entsprechenden Verknupfungen sehen – und damit sind die Spähprofis erfolgreich.
Schnuffeln sei bei Android die Regel
Im April hatte auch die Fachzeitschrift „c’t“ die Programmcodes der 50 beliebtesten Kostenlos-Apps in Deutschland untersucht. Mit zwei Ausnahmen senden alle im Hintergrund an Werbenetzwerke, und wie Eurecom staunte auch die Redaktion in Hannover, dass unterschiedliche Trackingdienste gleichzeitig bedient werden. Die App-Programmierer erhalten umso hohere Einnahmen, je mehr Daten sie uber ihre Nutzer verraten, schreibt die „c’t“. Und deshalb fordern Apps mehr Zugriffsrechte an, als sie fur ihr einwandfreies Funktionieren benotigen. Die wichtigsten Datensammler seien neben Google mit Analytics und Admob die Firmen Flurry und Mopub. Schnuffeln sei bei Android die Regel, es werde alles mitgenommen, was man abgreifen konne, Google unterstutze das System.
Nun hat Google auf seiner Entwicklerkonferenz fur die nächste Android-Version mit dem Code-Namen „M“ in Aussicht gestellt, dass das Berechtigungssystem fur Apps erneuert werde. Apps konnen bislang auf den Standort oder Fotos nur dann zugreifen, wenn man ihnen bei der Installation die Erlaubnis gibt. Ohne die Einräumung der Rechte lässt sich das Programm nicht installieren. Sind die Rechte einmal gewährt, konnen Apps ohne Kontrolle jederzeit auf private Daten zugreifen.
Google kopiert kunftig das Rechtesystem von Apple und räumt dem Nutzer die Moglichkeit ein, fur acht Berechtigungsarten den Zugriff zu gewähren – und wieder zu entziehen: fur den Standort, die Kamera, das Mikrofon, die Kontakte, die Telefonie-Funktion, die SMS und die Sensoren des Geräts. An der Weitergabe von Werbedaten wird das nicht viel ändern. Denn der Zugriff auf Netzwerkverbindungen und das Internet lässt sich fur neugierige Apps auch kunftig nicht kappen.