Offizielle App des Weißen Hauses angeblich mit umfangreichen Tracking-Funktionen
Die White-House-App verlangt unter Android weitreichende Berechtigungen. Eine technische Analyse wirft zudem Datenschutz- und Sicherheitsfragen auf.
Eine neue App der US-Regierung sorgt für Datenschutzbedenken.
(Bild: ChiccoDodiFC/Shutterstock.com)
Am Freitag hat das Weiße Haus eine offizielle Applikation für Android und iOS veröffentlicht. Sie verspricht „direkten Zugang zum Weißen Haus“ sowie „ungefilterte Echtzeit-Updates aus erster Hand“ mit Push-Benachrichtigungen zu Ankündigungen, Livestreams von Reden und der Möglichkeit, Feedback direkt an die Regierung zu senden.
Was die US-Regierung nicht erwähnt: Die App des Weißen Hauses verlangt auf Android-Geräten weitreichende Berechtigungen. Sie kann nach entsprechender Freigabe durch die Nutzer den genauen Standort erfassen, beim Gerätestart automatisch starten, Inhalte über andere Apps einblenden und das Gerät aktiv halten. Für sich genommen sind diese Funktionen nicht ungewöhnlich; bei Software, die vor allem Nachrichten und Livestreams bereitstellt und von einer staatlichen Stelle stammt, ist dieses Gesamtprofil jedoch erklärungsbedürftig.
Technische Analyse legt Tracking-Funktionen und externe Abhängigkeiten offen
Für Aufsehen sorgt zudem die Analyse eines Entwicklers, der den Code der Android-App untersucht hat. Dabei traten mehrere Auffälligkeiten zutage: Demnach blendet der integrierte Browser per JavaScript Cookie-Banner, Paywalls und Login-Hinweise aus. Zudem enthält der Code eine Vorkehrung für regelmäßige Standortabfragen, die – nach Rückfrage bei Nutzern zur App-Laufzeit – Daten an den Drittanbieter OneSignal übermitteln kann. Gleichzeitig nutzt das Programm umfangreiche Tracking- und Analysefunktionen über OneSignal, etwa zur Auswertung von Nutzerverhalten und Interaktionen.
(Bild: Screenshot)
Weitere Kritikpunkte betreffen die Einbindung externer Inhalte: Die App lädt JavaScript unter anderem von einer privaten GitHub-Seite, was bei einer Kompromittierung dieser Quelle das Ausführen fremden Codes ermöglichen könnte. Auch werden Nutzerdaten wie E-Mail-Adressen über externe Dienste verarbeitet, die nicht zur staatlichen Infrastruktur gehören.
Videos by heise
Rechtswidrig sei dies nicht zwangsläufig, so der Autor der Analyse, entspreche jedoch nicht unbedingt den Erwartungen an eine offizielle Regierungsanwendung. Im Play Store gibt die App lediglich an, allgemeine personenbezogene Daten zu erfassen, diese aber nicht an Dritte weiterzugeben. Konkrete Angaben zu Standortdaten, Tracking oder eingesetzten externen Diensten fehlen.
Offene Fragen zum Datenschutz
Die iOS-Version der App fällt im Praxistest zurückhaltender aus: Sie fordert weder Zugriff auf den Standort noch auf Benachrichtigungen an. Zumindest nicht beim ersten Start: Erst im „Social“-Bereich erscheint eine Abfrage für Benachrichtigungen, die Nutzer aktiv bestätigen müssen.
Im App Store werden als erfasste Daten lediglich Kontaktinformationen wie E-Mail-Adresse und Telefonnummer zu Marketingzwecken angegeben, die nicht mit der Identität der Nutzer verknüpft sein sollen. Hinweise auf Standortdaten, Tracking oder externe Dienste finden sich dort nicht.
Insgesamt wirkt die iOS-Version deutlich weniger fordernd im Umgang mit Systemrechten. Einschränkend gilt allerdings, dass sich das tatsächliche Verhalten ohne Einsicht in den Code nicht abschließend bewerten lässt.
Beide Stores verweisen auf die offizielle Datenschutzerklärung des Weißen Hauses, die in der Sektion zur App lediglich eine Kontakt-E-Mail aufführt. heise online hat sowohl Google als auch Apple um Stellungnahme zu Prüfprozess und Richtlinienkonformität gebeten.
(tobe)
