Forscher entdecken Standort-Tracker in 450 von 450 untersuchten Android-Apps

In einer neuen Studie unter der Regie des VPN-Anbieters Express VPN zeichnen Sicherheitsexperten ein Bild der globalen Standortüberwachung, das die meisten wohl nicht erwartet hätten. Alle 450 untersuchten Smartphone-Apps aus Googles Playstore enthielten Location-Tracker.
Erstaunlich: Jede App ein Standort-Schnüffler
Die betroffenen Apps kommen weltweit auf mindestens 1,7 Milliarden Downloads. Selbst in Apps, die sich gezielt an ein europäisches Publikum richten und die damit originär den Regelungen der Europäischen Datenschutzgrundverordnung DSGVO unterliegen, wurden die Forscher fündig.
Dabei wurden sogar Tracker wie X-Mode gefunden, die sowohl Google als auch Apple für Apps, die über die App-Stores vertrieben werden, verboten hatten. Dabei ist die Verwendung von X-Mode nicht einmal eine Randerscheinung. In 199 der untersuchten Apps (44 Prozent) fanden die Forscher eines oder mehrere Elemente der verschiedenen Software-Entwicklungskits (SDK), die X-Mode zur Verfügung stellt.
Diese Apps kommen zusammen auf mehr als eine Milliarde Downloads und werden weltweit genutzt. Thematisch reichen sie von Spielen, Fotoaufnahme und -bearbeitung über Gesundheit und Wetter bis hin zu kleinen Tools wie etwa Makeup-Filtern.
Passend zum Thema: So deaktiviert ihr das Standort-Tracking von Android-Apps
Aber auch SDK von Predicio oder Oneaudience, die Standortdaten nicht nur der Privatwirtschaft, sondern auch den Strafverfolgungsbehörden oder dem US-Militär zugänglich machen, werden weltweit gerne eingesetzt.
„Unsere Untersuchung deckte auch Standort-Tracker in Apps auf, die sich speziell an ein europäisches Publikum richten – darunter zahlreiche Dating-Apps, mindestens 14 Radio-, TV- und Nachrichten- sowie 4 Fußball- und 20 Reise-Apps. Diese Apps wurden mindestens 16 Millionen Mal heruntergeladen“, sagt Sean O’Brien, seines Zeichens Leiter der Studie und Gründer des Yale Privacy Lab. Darunter befindet sich etwa die App Radio Deutschland, die es allein bereits auf rund eine Million Downloads bringt.
Ihr wollt wissen, wie ihr
Vorsicht vor Messengern, Dating und religiös-kulturellen Apps
Nutzer von Messengern werden ebenfalls gezielt ausspioniert. In 42 solcher Apps, die immerhin 187 Millionen Mal heruntergeladen wurden, fanden die Forscher entsprechende Tracker. Dabei setzen die Inverkehrbringer der Apps diese Tracker offensichtlich in voller Absicht ein, denn unter den betroffenen Apps finden sich besonders viele, die sich namentlich und von der Bedienung her an das Branding bekannter Apps wie den Facebook Messenger, Telegram oder Wechat anlehnen.
In einer Phase, in der viele Menschen auf der Suche nach einer Whatsapp-Alternative sind, ist diese Vorgehensweise besonders perfide. So könnten sich Nutzerinnen und Nutzer mit einer derartigen App deutlich mehr Datenschutzprobleme ins Haus holen als sie mit Whatsapp hätten.
Besonders attraktiv für Location-Tracker sind offenbar auch Dating-Apps. Von den 450 untersuchten Apps befassen sich 64 mit den verschiedenen Aspekten des Dating. Die mindestens 52 Millionen Mal heruntergeladenen Apps zielen auf eine breite Palette von Menschen mit unterschiedlichen sexuellen Vorlieben sowie auf ethnische Gruppen.
Muslime scheinen ebenfalls im Visier der Location-Tracker zu stehen. In immerhin zehn religiösen oder kulturellen Apps für Muslime mit mindestens 67 Millionen Downloads konnten die Forscher X-Mode und assoziierte SDK identifizieren. Besonders betroffen sind zudem Länder mit großen muslimischen Bevölkerungsgruppen. So finden sich Location-Tracker in sozialen Apps in Ägypten und Indonesien.
Super-GAU entsteht aus Kombination mit IoT-Geräten
O’Brien warnt mit deutlichen Worten vor einer Kombination aus Trackern in Smartphone-Apps in Kombination mit Beacons aus Geräten des Internets der Dinge (IoT). Damit sei dann sogar das sogenannte Proximity-Tracking möglich. Auf der Basis dieser Form von Entfernungsmessung zwischen Smartphone und Beacon ließe sich sehr genau feststellen, „wie lange Sie sich zum Beispiel in einem Gang eines Lebensmittelgeschäfts aufhalten“.
Kombinieren Data-Miner solche Daten mit denen aus anderen Smartphones könnte das Proximity-Tracking am Ende sogar aufdecken, „mit wem Sie sich treffen, wer in Ihrem Auto sitzt oder mit wem sie im Bett liegen“.
Nutzer aktueller Smartphone-Betriebssysteme haben die Möglichkeit, den Zugriff jeder einzelnen App so zu begrenzen, dass etwa ein Zugriff auf Standort-Informationen nicht mehr möglich ist.
Eine Liste aller betroffenen Android-Apps hat Express VPN auf dieser GitHub-Seite veröffentlicht. Weitere Details findet ihr auf der entsprechenden Micro-Site zur Studie.
Warum überrascht das jemanden? 99,999% aller Apps haben kein Geschäftsmodell, dass auf Verkäufen basiert. Und wenn es welche gibt, kassieren die App-Store Betreiber 30%. Wieviel EUR gibt der durchschnittliche Smartphonebesitzer für Apps im Jahr aus und warum gibt es trotzdem Millionen Apps?
Kostet eine Dienstleistung nichts bist DU die Ware. Das ist allgemeingültig.
„450 von 450 untersuchten Android-Apps“
Schicke Schlagzeile, die insinuiert, dass wo möglich ALLE Apps tracken, was aber weder stimmt noch untersucht wurde.
Zitat bei Gidhub (übersetzt):
„Dieses Repository enthält die Ergebnisse einer Untersuchung im Januar 2021 zu Android-Apps, die Location Tracker Software Development Kits (SDKs) enthalten.“
https://github.com/expressvpn/xoth_location_tracker_investigation/blob/main/README.md
So wie ich das verstehe wurden nämlich überhaupt nur Apps mit Tracker untersucht und keine anderen.
Das würde auch erklärten warum bei den Massengern einige der populärsten schlicht fehlen, wie etwa Signal oder Threema.
Dass Whatsapp trackt sollte hingegen nun nicht wirklich irgend jemanden noch irritieren …
… und Ihre Passage:
„In einer Phase, in der viele Menschen auf der Suche nach einer Whatsapp-Alternative sind, ist diese Vorgehensweise besonders perfide. So könnten sich Nutzerinnen und Nutzer mit einer derartigen App deutlich mehr Datenschutzprobleme ins Haus holen als sie mit Whatsapp hätten.“
… hat unter dieser Headline dann aber auch etwas ‚Geschmäckle‘, wie ich finde ;-)
Lieber Herr Haas, vielen Dank für den Wahrheitsdrang in Ihnen, der Sie zu einer wortreichen Einlassung veranlasst hat. Leider stellt sich heraus, dass nicht ich, sondern Sie insinuieren. Denn Express VPN hat nicht ausdrücklich nur nach Apps mit Trackern gesucht. Das würde deren gesamte Argumentation auch zunichtemachen – oder, um es mit Nietzsche zu sagen: „Wenn jemand ein Ding hinter einem Busche versteckt, es ebendort wieder sucht und auch findet, so ist an diesem Suchen und Finden nicht viel zu rühmen“.
So war die Untersuchung nicht angelegt, vielmehr lautet der Titel des zugehörigen Blogbeitrags zum Thema „We analyzed 450 apps and found location trackers in every one“. Was ja nur dann eine Headline sein kann, wenn die Analyse nicht von vornherein darauf angelegt war. Ansonsten griffe Nietzsche…
Hab ich mich verklickt? Jedenfalls ist die Antwort nicht da gelandet wo sie eigentlich hin sollte und befindet sich nun also bei Zeitstempel 03.02.2021 14:10 Uhr, denn so einen Vorwurf von Ihnen möchte ich ebenso wenig stehen lassen, wie Sie den meinigen, Herr Petereit ;-)
Dass in muslimischen Apps Location-Tracker sind, ergibt Sinn, denn sie ermöglichen dadurch die Ermittlung der Gebetsrichtung und der Gebetszeiten.
Die Aussage auf Github ist jedenfalls für mich dahingehend recht eindeutig und sie befindet sich zudem auch näher am Ergebnis als ein Blog irgend wo anders.
Unabhängig davon bleibt aber auch die Frage vakant warum ausgerechnet die populärsten Whatsapp-Alternativ-Messenger, die gerade auch anderorts überall in den Schlagzeilen herumgeistern, nicht untersucht wurden.
Ihre Fragen, was warum nicht untersucht wurde, sollten Sie bei Express VPN stellen. Die werden das wenigstens beantworten können. Was den Blog betrifft. Es ist der Blog von Express VPN und damit der maßgebliche.