Zapp: Medienapps schnüffeln Nutzergerätedaten aus

Laut einem Bericht des NDR-Medienmagazins Zapp geben iOS-Apps von Zeitungen, Zeitschriften, Fernseh- und Radiosendern oft Anwenderdaten an die App-Hersteller, Rundfunkanstalten, Verlagshäuser oder sogar Dritte wie Facebook heraus. Insbesondere das Auslesen der Unique Device Identification, der Seriennummer, gilt dabei als kritisch: Dieses Datum soll weltweit einmalig sein. Da mobile Endgeräte oft nur von einem einzelnen Nutzer verwendet werden, dürften Datenschützer die UDID als personenbezogenes Datum werten. Notwendig für die Funktionen einer Radio- oder Zeitungsapp ist das Auslesen der UDID nach Ansicht der Zapp-Tester nicht.

Insgesamt testeten die NDR-Reporter 100 Anwendungen für Apple-Endgeräte. Dazu ließen sie den Datenverkehr der Apps über einen zwischengeschalteten Proxyserver laufen und analysierten die übermittelten Inhalte. Insgesamt 48 Apps übermittelten die UDID des Gerätes oder einen MD5-Hash davon, darunter zum Beispiel die Radio-App des Saarländischen Rundfunks , die c't-App aus dem Heise Zeitschriften Verlag, die App des Magazins Focus und die App des NDR selbst. Sieben weitere stuften die Zapp-Journalisten als problematisch ein, weil sich wiederholende IDs und Werte mit Bezeichnungen wie "Geräte ID" oder Cookies übermittelt wurden. 38 Apps wurden bei dem Test nicht beanstandet. Sieben Apps wurden aus der laufenden Untersuchung herausgenommen, da sie über den zwischengeschalteten Testproxy nicht einwandfrei funktionierten.

Nachdem die Journalisten die betroffenen Medienhäuser und Rundfunkanstalten zur Stellungnahme baten, reagierten erste bereits und kündigten eine umgehende Überprüfung an. Bei einigen der Apps vermuteten die Zapp-Mitarbeiter, dass anbietende Verlage oder Rundfunkhäuser nicht zwangsläufig vom Verhalten ihrer oft im Auftrag programmierten Apps wussten. Die Zapp-Redaktion wird ihre Testergebnisse sowie eine Beschreibung ihres Vorgehens in ihrem Internetangebot öffentlich machen.

Apple hatte bereits im vergangenen Jahr angekündigt, Apps künftig nicht mehr in seinem Store zuzulassen, die die UDID auslesen. Die Testergebnisse der Zapp-Journalisten deuten nun darauf hin, dass auch Anfang Mai noch viele der iOS-Anwendungen diese Daten übertrugen.

Der Heise Zeitschriften Verlag, der auch heise online herausgibt, erklärte zu den Ergebnissen, die der App-Test der Zapp-Redaktion erbrachte: "Die UDID wird in der c't-App dazu benutzt, das Gerät für das c't-Abonnement zu identifizieren. Die Daten werden zur Verarbeitung im Verlag aber anonymisiert, außerdem werden sie keinesfalls an Dritte weitergegeben. Der Nutzer der App wird beispielsweise in der FAQ zur c't-App, die in der Hilfe verlinkt ist, darauf hingewiesen, dass das Abo an die Nutzung auf maximal 5 Geräten gebunden ist, ansonsten aber kein DRM eingesetzt wird. In der nächsten Version der App wird die Nutzung der UDID zur Abo-Kennung entfernt." (jk)