Wenn über Apps, die datenschutztechnisch dubioses Verhalten an den Tag legen, berichtet wird, dann geht es oft um Programme aus alternativen Quellen. Stores von Drittanbietern werden oft in Asien frequentiert. In China werden Android-Smartphones aufgrund eines anhaltenden Disputs zwischen Google und der chinesischen Regierung ohne Zugang zum Play Store ausgeliefert.

Allerdings lesen auch Programme aus dem offiziellen Katalog mitunter unbemerkt Daten aus. Das Yale Privacy Lab und Exodus Privacy haben gemeinsam mittlerweile 300 Apps identifiziert, die teils sensible Informationen speichern und weiterschicken.

Prominentester Tracker ist harmlos

Insgesamt 44 Tracker konnten bisher identifiziert werden. Vorhanden sein dürften mehr, da die eingesetzte Erkennungsplattform Apps mittels Signaturen überprüft. Daher können nur bereits bekannte Tracker erkannt werden. Unter den Apps befinden sich auch bekanntere Programme wie Skype, Twitter, Spotify, Uber und Snapchat. Die Funde können im Exodus Privacy Report eingesehen werden.

Die gute Nachricht vorweg: Am häufigsten vertreten ist Crashlytics. Dieser greift keine Informationen ab, die datenschutztechnisch besonders relevant sind. Er sammelt Logdateien, die Apps bei Fehlern und Abstürzen anlegen und übermittelt diese an den Hersteller. Sie werden herangezogen, um Programmfehler aufzuspüren.

Die schlechte Nachricht: Die meisten der anderen Tracker sammeln Daten, die für benutzerspezifische Werbung eingesetzt werden, Nutzungsstatistiken und Informationen über den Standort des Users. Die Forscher kritisieren dabei nicht nur das Verhalten der Tracker selber, sondern auch, dass der Nutzer über ihren Einsatz nicht in Kenntnis gesetzt wird.

Wohl auch iOS-Apps betroffen

Die Forscher warnen, dass mit wenig Modifikationen auch Tracker realisierbar wären, die etwa Gesichtsdaten erfassen und weitergeben – sofern der Nutzer der App Kamerazugriff gewährt hat. Zur Demonstration haben sie eine App namens Facegrok entwickelt, die das Konzept zeigt, aber keine Daten weitergibt. Sie geben außerdem zu bedenken, dass auch einige iPhone-Apps betroffen sein könnten – denn die Entwickler der Tracker bieten auch SDKs für Apples iOS. (red, 28.11.2017)