Schlimmer als Google: Welche Daten alternative Android-Hersteller sammeln

In einer Studie fanden Sicherheitsforscher Anfang des Jahres heraus, dass Android-Geräte von Google im großen Umfang Daten an den Konzern schicken, auch wenn man diese Übermittlung von Telemetrie-Daten eigentlich abgestellt wähnte. Nun ist ein Vorteil von Android, dass man auch Geräte anderer Hersteller mit dem Betriebssystem kaufen kann. Diese hätten durchaus die Möglichkeit, weniger Daten zu übermitteln und die Privatsphäre der Kunden zu respektieren. In einer neuen Veröffentlichung erklärt dasselbe Wissenschaftler-Team nun aber, dass auch viele alternative Hersteller wie Samsung, Xiaomi, Huawei und der Oppo-Sprössling Realme eine große Menge an Daten übermittelt, ohne dass der Nutzer des Gerätes dies abstellen kann.

Professor Doug Leith und seine Kollegen vom Trinity College in Dublin haben sich in einer wissenschaftlichen Veröffentlichung die Daten angeschaut, die von werksseitig vorinstallierten Apps auf in Europa verkauften Geräten der Hersteller Samsung, Xiaomi, Huawei, Realme, LineageOS und /e/-OS verschickt werden. Dazu gehören die Apps von Google (samt den Play Services und dem App Store der Firma) und andere System-Apps von Facebook, Microsoft und LinkedIn. Sie kommen dabei zu dem Schluss, dass alle Geräte außer denen mit /e/-OS "große Mengen an Informationen an die Betriebssystem-Entwickler und Drittfirmen" verschicken. Und das schon, wenn der Nutzer kaum eigene Apps installiert. Außerdem sei es bei den meisten dieser Dienste unmöglich, die Datensammelwut einzuschränken, geschweige denn sie ganz zu unterbinden.

Auch LineageOS, obwohl oft als datenschutzfreundliche Alternative zu Google beworben, sendet demnach Daten an Google. Die LineageOS-Entwickler bestreiten dies allerdings und merken an, dass die Forscher aus Dublin das optionale Drittanbieter-Paket OpenGApps installiert hätten, welche Googles Apps auf den Geräten der Hersteller nachrüstet. Werksseitig seien diese Apps nicht installiert, so die Lineage-Entwickler. Man empfehle Open-Source-Alternativen wie F-Droid und MicroG.

Schlimmer als Google

Die Apps auf untersuchten Android-Geräten von Samsung, Xiaomi, Huawei und Realme übermitteln laut der Studie "große Mengen an Daten" an den Hersteller des Gerätes. In Reaktion auf die frühere Studie der Forscher hatte Google sich auf den Standpunkt gestellt, dass solche Telemetrie-Daten nötig seien, um moderne Geräte ordnungsgemäß zu betreiben und als Hersteller Fehler zu finden und zu beheben. Das sei bei anderen Produkten, etwa modernen Autos, nicht anders. Dieses Argument lässt allerdings außer Acht, dass Autos knapp ein Jahrhundert lang auch ohne die Übermittlung solcher Daten einwandfrei funktioniert haben. Ebenso scheint es den /e/-OS-Entwicklern möglich zu sein, ihre Produkte ganz ohne automatische Telemetriedaten-Übermittlung zu entwickeln. Das legen jedenfalls die Erkenntnisse der Forscher nahe, die keine solchen Datenflüsse feststellen konnten.

Die Geräte von Samsung, Xiaomi, Huawei und Realme sammeln wie von Google-entwickelte Android-Smartphones ebenfalls IMEI-Nummern, die Telefonnummer des Gerätes, sowie die Seriennummern einer ganzen Anzahl von verbauter Hardware-Komponenten und natürlich der eingelegten SIM-Karte. Ortungsdaten, die MAC-Adressen des verbauten WLAN-Transceivers, IP-Adressen, Cookies und allerhand andere Telemetrie wird ebenfalls gesammelt und an den Hersteller übertragen.

Anders als Google-Geräte übermitteln die Smartphones der untersuchten Hersteller auch IDs wie die für Werbe-Tracking. Diese IDs sind zwar zurücksetzbar, weil das dem Anwender mehr Privatsphäre bringen soll. Das funktioniert aber nicht mehr wirklich, wenn sie beim Hersteller dank der Telemetrie mit anderen Daten verknüpft werden können. Die Geräte legen außerdem Listen davon an, welche Apps auf dem Telefon installiert sind – womit sich einzelne Nutzer ziemlich gut identifizieren lassen.

Munterer Datenaustausch

Da Hersteller wie Samsung Cloud-Systeme von Google und Microsoft nutzen, um ihre Dienste anbieten zu können, vermuten die Forscher, dass diese Daten nicht beim Smartphone-Hersteller alleine bleiben. Da Samsung etwa den Analytics-Dienst von Google in seinen Apps verwendet, kann Google höchstwahrscheinlich anhand der übermittelten Daten die Anwender ebenfalls identifizieren und tracken. Andere Hersteller sammeln noch detailliertere Daten. Auf Huawei-Geräten ist die Swiftkey-Tastatur von Microsoft installiert, die in Echtzeit Informationen über das Verhalten der Nutzer sammelt. Und Xiaomi-Geräte sammeln Daten dazu, wann der Nutzer welche App-Screens aufruft – und schicken diese Daten aus der EU an Server in Singapur.

Die Forscher aus Dublin kommen in ihrer Untersuchung zu dem Schluss, dass, obwohl die Sammlung von Telemetrie-Daten bei Software normal ist, die hier beschriebene Datensammelwut weit über das hinausgeht, was man als angemessen betrachten würde. Und es sei sehr fragwürdig, dass Nutzern keine vernünftige Möglichkeit gegeben wird, die Datenübertragungen abzustellen. Immerhin sehen die Forscher einen Lichtschimmer: "/e/-OS sammelt so gut wie keine Daten, es ist bei Weitem die Privatsphäre-freundlichste Android-Version" loben sie das Google-freie Betriebssystem.

(fab)