Zu einem ernüchternden Ergebnis kommt eine neue Studie von Forschern des Trinity College in Dublin. Wer ein Android-Smartphone nutzt, der muss damit leben, dass dieses allerlei Daten an den Hersteller – und oft auch noch an andere Firmen – sendet. Und das selbst dann, wenn man sämtliche Optionen zur Sammlung von Telemetriedaten deaktiviert hat und nur vorinstallierte Apps verwendet.

Vorgeschichte

Ganz neu ist diese Erkenntnis nicht, hatte dasselbe Forscherteam das doch bereits Anfang des Jahres anhand von Google-Smartphones belegt. Demnach würden bei diesen unter anderem die IMEI zur eindeutigen Identifizierung des Geräts sowie andere Hardware-Identifikatoren regelmäßig verschickt. Auch die Werbe-ID kennt das Unternehmen, und zwar so, dass sie auf ein spezifisches Smartphone zurückgeführt werden kann – obwohl sie an sich pseudonymisiert ist.

Nun hat man die Untersuchungen aber eben auf andere Android-Hersteller ausgedehnt, und das mit dem zu befürchtenden Ergebnis: Dort sieht es nämlich noch schlechter aus. Deren Smartphones liefern nämlich ebenfalls die erwähnten Daten an Google, holen sie sich aber natürlich auch selbst – und geben sie darüber hinaus noch an andere Firmen weiter.

Samsung, Xiaomi und Co

So gehen etwa bei Samsung Telemetriedaten nicht nur an Samsung und Google, sondern auch an Microsoft – das dort zahlreiche Apps vorinstalliert hat – und den jeweiligen Netzbetreiber. Auch die Firma Hiya, die Services zum Blockieren von Spam-Anrufen anbietet, bekam bei den untersuchten Geräten Daten.

Bei Xiaomi-Smartphones wandern nicht nur Telemetriedaten an Xiaomi und Google, sondern ebenfalls an den Mobilfunkbetreiber sowie an Facebook. Bei Huawei – hier wurde ein Modell genutzt, das noch mit Google-Diensten ausgestattet ist – kamen die Firmen Daily Motion, Avast, Qihoo 360 und Microsoft hinzu.

Sicherheitsprobleme

Kritik üben die Forscher dabei im Speziellen an den Geräten von Xiaomi, Realme und Huawei: Bei diesen konnte der Datentransfer teilweise entschlüsselt werden, was die Gefahr von Man-in-the-Middle-Attacken berge, also dass jemand diese sensiblen Informationen am Weg abgreifen könne. Interessant ist auch, dass nicht einmal das Volumen von Daten, die an Google wandern, bei allen Herstellern gleich ist, das getestete Realme-Smartphone übertrug hier dreimal so viele Informationen pro Stunde wie ein Samsung-Gerät.

Einschränkend muss bei all dem erwähnt werden, dass die Studie auf relativ alten Smartphones basiert, die oft schon drei bis vier Jahre alt sind. Insofern könnten die Ergebnisse also bei neueren Devices im Detail variieren. An der Grundaussage sollte dies aber wenig ändern.

Seltsame Kritik

Kritik übten die Forscher sogar an einem Gerät mit dem Community-Android Lineage OS: Auch hier habe man regelmäßige Datenübermittlungen an Google festgestellt. Auf diesen Vorwurf reagieren die Entwickler des Projekts allerdings wenig erfreut und üben ihrerseits Kritik an der Methodik. Auf dem untersuchten Gerät seien nämlich die "Open Gapps" als Alternative zu den offiziellen Google-Play-Services installiert worden. Darin seien Pakete von Google enthalten, insofern sei die Beobachtung nicht verwunderlich. Von Haus aus würden bei Lineage OS aber keinerlei Telemetriedaten gesammelt. Generell empfehle man die Nutzung von Play-Store-Alternativen wie F-Droid.

Die Ausnahme in der Untersuchung bildete ein Gerät mit dem auf Lineage OS basierenden, aus Frankreich stammenden eOS. Hier wurde tatsächlich keinerlei Übermittlung von Telemetriedaten festgestellt.

Reaktion

Bei Google selbst widerspricht man den Ergebnissen der Studie gar nicht, allerdings der Darstellung, dass dies unerwartet wäre. Alles, was man hier sammle, sei für den Betrieb eines modernen Smartphones unerlässlich und zudem öffentlich dokumentiert. So würden die Google-Play-Services etwa ein begrenztes Set an Hardwareinformationen sammeln, um damit Kernfunktionen wie die zuverlässige Auslieferung von kritischen Updates an sämtliche Geräte und Apps zu ermöglichen.

Dieser Darstellung widersprechen wiederum die Forscher selbst: Projekte wie eOS würden zeigen, dass es auch möglich sei, ein Smartphone-System ohne die Sammlung solcher Daten zu betreiben. (Andreas Proschofsky, 18.10.2021)