Datenschutz

NDR ZAPP: Viele iOS-Apps geben unbemerkt Daten ihrer Nutzer an Dritte weiter

Noch immer senden zahlreiche Apps ungefragt Nutzer-Daten an Dritte. Das geht aus Recherchen des NDR Medienmagazins ZAPP hervor. Das Magazin hat fast 150 Apps aus dem Apple App Store von „unabhängigen Experten“ untersuchen lassen. Fast ein Drittel senden unbemerkt die Seriennummer des Geräts.


Netzpolitik.org ist unabhängig, werbefrei und fast vollständig durch unsere Leserinnen und Leser finanziert.

Den Film gibt’s als MP4 oder auf YouTube:



NDR hat auch einen Bericht:

ZAPP hat hundert kostenfreie Medien-Apps aus dem App-Store untersucht. Dabei wurde deutlich, dass viele Apps spezielle Nutzer-Daten registrieren und weitermelden. So wird bei einzelnen Radio-Apps von WDR, NDR und BR die eindeutige Gerätekennung, kurz UDID, an eine Entwicklerfirma übermittelt. Mit dieser UDID kann das iPhone oder iPad nach Einschätzung von IT-Experten immer eindeutig identifiziert werden, die Experten gehen deshalb von einem gewissen Personenbezug aus. Die iPad Radio-App vom Saarländischen Rundfunk transferiert die UDID sogar an das soziale Netzwerk Facebook, allerdings ohne das Wissen des Senders.

Falk Lüke berichtet bei Heise Online:

Insgesamt testeten die NDR-Reporter fast 150 Anwendungen für Apple-Endgeräte. Dazu ließen sie den Datenverkehr der Apps über einen zwischengeschalteten Proxyserver laufen und analysierten die übermittelten Inhalte. Insgesamt 48 Apps übermittelten die UDID des Gerätes oder einen MD5-Hash davon, darunter zum Beispiel die Radio-App des Saarländischen Rundfunks , die c’t-App aus dem Heise Zeitschriften Verlag, die App des Magazins Focus und die App des NDR selbst.

Die kompletten Ergebnisse gibt’s bei Google Docs.

Android-Apps hat man nicht untersucht, weil die immerhin vorher anzeigen, welche Berechtigungen man will. Einzelne Zugriffe verweigern kann man aber nur mit einem freien Android.

Weitersagen und Unterstützen. Danke!
13 Kommentare
  1. Man kritisiert die Weitergabe der Daten an Dritte aber nicht das der App-Betreiber sie sich selbst beschafft? In diesem Schritt könnte man bereits das abgreifen durch dritte verhindern… Tolle Logik :)

  2. Wie immer. so oder so. Unbemerkt: welcher User weis schon von einer UDID und wozu die gut ist. Die Frage ist doch, wonach fragt die App den User? Wenn ich eine App nutze, die anonym funktioniert, kein Login etc. dann geht den Anbieter die UDID auch nichts an. Wenn die App aber Nutzerbezogen ist, ist sie ein nützliches Tool, und dann habe ich vermutlich beim Anlegen meines Accounts und beim Login der nutzer meiner Daten zugestimmt. Das kann ich ja auch bleiben lassen, ist mir überlassen. Die c’t App ist aufgelistet: dort muss ich mich anmelden und mein iPhone mit dem Account verknüpfen. Damit stellt Heise sicher, dass ich meinen Login nicht an 100 „Freunde“ weitergebe, die dann alle umsonst c’t lesen können. Ich sehe das als legitimen Anwendungsfall. Wie gesagt, pro und contra und ausgewogene Berichterstattung wäre wünschenswert.

  3. Den Hinweis auf die Android-Apps am Ende lasse ich so aber auch nicht gelten. Dieses „vorher Nachfragen“ beschränkt sich in der Regel auf pauschale Zustimmungen zu Rechten wie „uneingeschränkter Netzzugriff“ oder das Ermitteln des „ungefähren Standorts“.

    Oft wollen vor allem die Jüngeren einfach das neue Game zocken und nicken das ganze ungelesen ab. Bei GooglePlay gibt’s auch verhältnismäßig mehr Freemium- und werbefinanzierte Apps (vor allem Games), die munter in die Werbezentrale telefonieren.

    Man muss sich fragen, ob das auf den ersten Blick sinnvolle Einräumen von Rechten nicht den gegenteiligen Effekt hat, den es eigentlich erzielen wollte. Denn die meisten User werden die Rechte einfach abnicken, wenn sie die App dahinter haben wollen, die sie sich gerade kostenlos geladen haben. Bei diesem OS also so zu tun, als wäre alles in Ordnung, finde ich zumindest denkwürdig.

    Ach ja, darüber hinaus ist die UDID deprecated, wird also bald nicht mehr für Entwickler abzufragen sein: http://techcrunch.com/2011/08/19/apple-ios-5-phasing-out-udid/

    1. Cyanogenmod bietet doch die Funktion, die Rechte explizit pro App freizugeben. Das wäre doch auch mal ein guter weg für Android (zumal die meisten Apps auch ohne vieler geforderten Rechte tadellos funktionieren)- aber da hat die Werbeindustrie wohl etwas gegen ;)

    2. Telefonstatus lesen und identifizieren
      Ermöglicht der App, auf die Telefonfunktionen des Geräts zuzugreifen. Eine App mit dieser Berechtigung kann unter anderem die Telefon- und Seriennummer dieses Telefons ermitteln und feststellen, ob ein Anruf aktiv ist oder mit welcher Nummer der Anrufer verbunden ist.

      In den Berechtigungen wird schon deutlich darauf hingewiesen, wenn die Seriennummer ausgelesen werden kann. Hier kann man Android an sich also keine Vorwürfe machen.
      Ob es so toll ist, dass die Entwickler diese Berechtigung oftmals fordern, ist natürlich eine andere Sache.

      Dass es so viele werbefinanzierte Apps im PlayStore gibt, liegt vor allem daran, dass es auf Android schwieriger ist, für Apps Geld zu bekommen, da man auf Android auch Apps installieren kann, die nicht aus dem Store kommen. Wobei ich die Möglichkeit, Apps aus anderen Quellen installieren zu können, sehr schätze, gerade dies ist ein sehr großer Vorteil gegenüber iOS.
      Allerdings erleichtert dies auch erheblich das Verbreiten von illegalen Kopien von Spielen. Daher bieten viele lieber ihr Spiel gratis mit Werbung an und zusätzlich in einer kostenpflichtigen Version ohne Werbung.

      Bei den gecrackten Versionen von Spielen muss man jedoch auch vorsichtig sein, nicht selten wurden darin Funktionen zusätzlich eingebaut, um Daten auszuspionieren oder kostenpflichtige SMS zu verschicken.

  4. Um Push-Benachrichigungen auf iOS zu ermöglichen, muss die App IMMER die UDID auslesen. Das trifft auf jede App zu, die Push Notifications beinhaltet, also auch Tagessschau etc. Ist ja auch klar, wenn ich analog eine Zeitung abonniere, muss ich auch meine Adresse angeben. Ich glaube, da hat Zapp aus mangelndem technischen Sachverstand einen schwachen Beitrag gebastelt. Ironischerweise kommt die Facebook-App bei Zapp gut wen (Keine UDID), gerade die wird aber bei Stiftung Warentest zur schlimmsten Datenkrake gekürt.

    1. Lieber Herr Weber,
      da habe ich andere Informationen.
      1) Für Push bräuchte man das Device Token. Das kann, im gegensatz zur UDID, sich ändern. Die Details dazu lassen sich einfach googeln.

      2) Der Test (bin einer der Autoren des Beitrags) hat sich nur auf die Übermittlung von Daten konzentriert, die unangekündigt erfolgen.
      Spätestens mit dem Login in der sonst nutzlosen Facebook App wird dem Nutzer klar: Hier fließen Daten. Das kann der Nutzer dumm oder schlau finden, aber er muss sich ein loggen und dann gehen erstmal nur Daten rüber, die auch der heimische PC übertragen würde.
      Die KollegInnen von Stiftung Warentest haben etwas anders getestet, doch wir haben zusammen die gleichen Übeltäter ausgemacht, wenn wenn die Apps bei beiden getestet wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.