Über 1.000 Android Apps sammeln Daten trotz fehlender Erlaubnis

Über 1.000 Android Apps sammeln Daten trotz fehlender Erlaubnis

Für Nutzer ist es ernüchternd, wenn sie feststellen, dass ihr Einverständnis für die Datennutzung bei manchen Apps kaum Gewicht hat. Eine universitäre Untersuchung, die der Federal Trade Commission in den USA vorgelegt wurde, zeigt, dass zahlreiche Apps im Google Play Store auch dann Daten sammeln, wenn der Nutzer seine Erlaubnis gar nicht erteilt hat. Die Forscher des International Computer Science Institute fanden gut 1.300 Apps, die auch bei explizit verneinter Erlaubnisanfrage auf die Daten zugegriffen haben.
Ist die Privatsphäre bei Apps überhaupt zu wahren?
Wer Apps nutzt, muss sich darauf einstellen, dass seine Daten mehr oder weniger schnell bei den Betreibern ankommen. Oder bei Facebook, wenn die App über das Facebook SDK operiert. Ende letzten Jahres wurde bekannt, dass viele Apps schon beim Start automatisch Daten an Facebook übermittelt haben. Die IP-Adresse, Nutzungszeiten, Advertising IDs, Gerätetypen usw. wurden unmittelbar weitergegeben. Das traf, wie später ermittelt wurde, auch bei Apps für iOS zu.
Dabei geben auch Apps grundsätzlich die Entscheidung über die Nutzung ihrer Daten an die Nutzer weiter. Nur wird diese nicht immer so hingenommen, wie die jüngste Untersuchung des International Computer Science Institute offenbart. Die Erkenntnisse der Studie sind beunruhigend, wenngleich sie nicht allzu sehr überraschen dürften. Serge Egelman, der an der Studie beteiligt war, erklärte laut CNET auf der PrivacyCon der FTC:
Fundamentally, consumers have very few tools and cues that they can use to reasonably control their privacy and make decisions about it. If app developers can just circumvent the system, then asking consumers for permission is relatively meaningless.
Die Untersuchung, bei der viele Apps weiter Daten sammelten, obwohl es hierfür keinen Consent gab, bewegte die Analysten schon im letzten Herbst dazu, Google über die Erkenntnisse zu informieren. Das Unternehmen gab jedoch an, dass erst mit dem Update Android Q, das in diesem Jahr ausgerollt werden soll, eine Lösung für das Problem geschaffen wird. Nach Googles Angaben werden Location-Daten oder Bilder von Apps verborgen, die keine Erlaubnis für die Datennutzung erhalten. Beim WiFi-Zugriff muss wiederum eine Erlaubnis zur Einholung von Location-Daten vorliegen.

Sichere dir einen Überblick über die 6 wichtigsten Tipps zum Datenschutz sowie Praxistipps unserer Rechtsexperten für die Umsetzung. 

Jetzt Whitepaper downloaden
Insights aus der Studie
Über 88.000 Apps untersuchte das Team um Egelman. Dabei fokussierte man sich auf die Datenübertragung der Apps, wenn keine Erlaubnis zur Nutzung dieser Daten vorlag. Immerhin 1.325 Apps umgingen aber die verweigerte Einwilligung. So nutzten sie etwa WiFi-Verbindungen als Quelle für das Erfassen von Standortdaten und griffen auf Metadaten aus Bildern zurück. Beispielsweise habe die Fotobearbeitungs-App Shutterfly GPS-Koordinaten aus Bildern an die eigenen Server gesendet, auch ohne Erlaubnis. Das wurde vom Unternehmen jedoch abgestritten:
Like many photo services, Shutterfly uses this data to enhance the user experience with features such as categorization and personalized product suggestions, all in accordance with Shutterfly’s privacy policy as well as the Android developer agreement.
Manche Apps, so erklärt die Studie, nutzen auch die Erlaubnis, die User bei anderen Apps erteilt hatten, um Daten einzusehen. Das geschah, wenn die Apps mit Erlaubnis einen Datenordner auf der SD-Karte erstellten, der wiederum für die Apps ohne Erlaubnis einsehbar war. Zwar gab es nur 13 Apps, denen diese Praktik zugewiesen werden konnte, doch verzeichneten diese 13 Apps über 17 Millionen Downloads. Zudem gibt es insgesamt 153 Apps, die diese Möglichkeit per se haben. Darunter auch solche wie Samsungs Health oder Browser Apps, so die Analysten.
Im August möchten Egelman und sein Team die Studie und die erschreckenden Erkenntnisse bei der Usenix Security Conference vorstellen. Dann sollen auch Details zu den ohne Recht Daten sammelnden Apps und eine Liste dieser veröffentlicht werden. Das könnte für viele von ihnen einen starken Einbruch bei der Nutzung und bei den Downloadzahlen bedeuten. Dass der App-Nutzer aber überhaupt drum herum kommt, Daten abzugeben, scheint auch angesichts dieser Studie illusorisch. Trotzdem muss für die Privatsphäre und mehr Schutz der Daten gekämpft werden.
Regulators and platform providers need better tools to monitor app behaviour and hold app developers accountable by ensuring apps comply with applicable laws, namely by protecting users’ privacy and respecting their data collection choices. Society should support more mechanisms, technical and other, that empower users’ informed decision-making with greater transparency into what apps are doing on their devices,
heißt es in der Studie des International Computer Science Institute, die ihr hier noch einmal nachvollziehen könnt.