Facebooks Onavo-VPN-App überwacht Display-Aktivität und Datenverbrauch

Die iOS-Version von Facebooks VPN-App Onavo Protect übermittelt regelmäßig, wann der Bildschirm des Nutzers an und ausgeschaltet ist, wie aus einer Analyse des Sicherheitsforschers Will Strafach hervorgeht. Zu welchem Zweck diese Daten erfasst werden, bleibt unklar – Facebook hat sich bislang nicht dazu geäußert. Eine Aufzeichnung der Bildschirmaktivität kann auch Einblicke in persönliche Verhaltensweisen geben, etwa wann der Nutzer schläft.

Datenverbrauch wird offenbar auch erfasst, wenn Onavo aus ist

Onavo Protect sendet zudem die Gesamtmenge des täglichen Datenverbrauches an Facebook – dabei werden sowohl WLAN- als auch Mobilfunkverbindungen berücksichtigt. Die dafür genutzte Schnittstelle ermögliche es Onavo wohl, den Datenverbrauch auch dann noch zu erfassen, wenn der Nutzer den VPN-Dienst abgeschaltet hat. Auch hier bleibe unklar, zu welchem Zweck Facebook diese Daten sammelt, merkt Strafach an.

Onavo sendet der Analyse zufolge zudem verschiedene Informationen wie den Namen des Netzbetreibers sowie Landes- und Spracheinstellungen an Facebook und eine Angabe, wie lange die VPN-Verbindung jeweils bestand. Ungeklärt ist bislang außerdem, ob Facebook versucht, die von Onavo übermittelte Geräte-ID mit einem Nutzerprofil bei dem sozialen Netzwerk zu verknüpfen.

Tiefer Einblick in Nutzungsverhalten – über Facebook-App hinaus

Onavo gehört seit 2013 Facebook. Die Android-Version des VPN-Dienstes hat Strafach nicht analysiert, ob diese die gleichen zusätzlichen Daten erfasst, bleibt somit offen. Facebook hat den VPN-Dienst seit kurzem prominent in der hauseigenen iPhone-App platziert, um Nutzer zur Installation zu locken – mit einem Schutzversprechen: Onavo “schützt Sie und ihre Daten – wo immer Sie sich aufhalten”, heißt es in der Produktbeschreibung. Einem vorausgehenden Bericht zufolge setzte Facebook die von Onavo ermittelten Nutzungsdaten auch zur Analyse konkurrierender Apps und deren Beliebtheit unter Nutzern ein. (lbe)