Populäre Apps leaken Bewegungsprofile
Das SDK des britischen Anbieters Huq speichert laut AppCensus ausgiebige Bewegungsprofile und lädt diese auch hoch, wenn Nutzer widersprechen.
(Bild: ra2studio/Shutterstock.com)
Die systematische Erfassung von Bewegungsprofilen von Smartphones ist ein Milliarden-Geschäft, aber nur wenig ist darüber bekannt, wie genau diese Daten erfasst und wofür genau sie verwendet werden. Eine neue Recherche von AppCensus zeigt: Selbst harmlos erscheinende Apps wie Barcode-Scanner, GPS-Tachometer oder Wetter-Apps sammeln systematische detaillierte Bewegungshistorien ihrer Nutzer und Nutzerinnen.
Wie AppCensus in einem Blogbeitrag ausführt, war die Datensammlung bei üblichen Tests nicht aufgefallen, da das SDK nicht permanent die Nutzerdaten in Echtzeit hochlädt, sondern in einer Datei lokal zwischenspeichert. Zu dieser Datensammlung gehören nicht nur GPS-Daten, sondern auch Informationen über in der Nähe befindliche WLAN-Netze.
Freigabe für alles
Solche Daten werden für eine Reihe von Zwecken erhoben. So können Kommunen etwa Bewegungsdaten für die Verkehrsplanung nutzen, Investoren günstige Standorte etwa für Ladenlokale ermitteln. Sie eignen sich aber auch für individuelle Werbung, da die Daten Rückschlüsse zulassen, in welchen Geschäften Benutzende einkaufen. Um die genau zuordnen zu können, erfasst Huq laut Analyse nicht nur die Werbe-ID von Android, sondern weist ihnen auch eine eigene permanente ID zu.
Apple und Google haben den Zugriff auf den genauen Standort von App-Nutzern und App-Nutzerinnen eingeschränkt, um deren Privatsphäre zu schützen. Deshalb müssen in aktuellen Versionen von Android und iOS der Zugriff auf GPS und andere Ortungsdaten explizit bestätigt werden. Dies ist aber kein perfekter Schutz. So finden sich die SDKs der entsprechenden Anbieter häufig in Apps, die die Ortung für ihre normale Funktionalität benötigen. AppCensus fand das SDK von Huq zum Beispiel in einer App, die Radarfallen anzeigt und über 10 Millionen Mal installiert wurde.
App-Entwickler verantwortlich?
Auf seiner Homepage wirbt der britische Anbieter damit, täglich eine Milliarde Datenpunkte aus 161 Ländern auszuwerten, lässt aber offen, woher genau diese Daten stammen. Diese Angaben muss man sich aus den Datenschutzerklärungen der einzelnen Apps heraussuchen. Wie das US-Magazin Vice berichtet, ergab die Analyse der Kommunikation zweier Apps, dass diese auch dann Daten übertragen, wenn ausdrücklich der Erfassung der Daten widersprochen wurde. Gegenüber Vice macht Huq für dieses Verhalten die App-Entwickler verantwortlich. Diese dürften das SDK erst initialisieren, wenn eine Zustimmung vorliege.
(mho)
