Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Die Auswertung der Standortdaten schafft einen neuen Markt für Werbung, der den bisherigen Markt für personenbezogene Werbung im Internet weit übertreffen soll. Bei den damit möglichen Gewinnen wundert es nicht, dass viele Teilnehmer aggressiv dabei sind, Daten zu sammeln:
  1. In Apples Datenschutzbestimmungen für das iPhone räumt der Konzern sich das Recht ein, den Standort des Nutzers laufend an Apple zu senden. Apple wird diese Daten Dritten zur Verfügung stellen. Für diese Datensammlungen wurde Apple mit dem BigBrother Award 2011 geehrt.

    Seit iOS Version 8 übertragen Apples Mobilgeräte automatisch die Liste der Telefon­anrufe in die Apple-Cloud (Telefonnummer, Datum/Uhrzeit, Dauer), sobald ein iCloud-Konto eingerichtet wurde. Die Datenspeicherung kann man nur verhindern, wenn man das iCloud Drive komplett abschaltet.

    Mit iOS Version 10 hat Apple diese Datenspeicherung ausgeweitet und überträgt die Metadaten der Kommunikation von allen Apps in die Apple Cloud, die mit CallKit-Unterstützung eingehende Anrufe auf dem Lockscreen anzeigen. Das betrifft neben Telefonie und SMS auch iMessage, WhatsApp, Skype und verschlüsselten VoIP Telefonate des Messengers Signal.

    Die Kommunikationsdaten werden für 4 Monate im iCloud-Konto des Benutzers gespeichert und können dort von Behörden abgegriffen und für die Kommunikations­analyse genutzt werden. Die Firma Elcomsoft bietet Geheimdiensten die nötigen Tools, um diese Daten zu erschließen.
  2. Auch Googles Android Smartphones übertragen seit Version 6 (April 2016) die gesamte Call History (Telefonnummer, Datum/Uhrzeit, Dauer) in die Cloud. Auch diese Daten können gleichfalls mit den Tools der Firma Elcomsoft von Geheimdiensten und Strafverfolgung genutzt werden.

    Die Call History wird laut Googles Datenschutz Policy wie alle anderen gesammelten Daten in erster Linie für die Optimierung der Werbung verwendet und auch an Werbepartner weitergegeben. Anhand der Daten erstellt Google Vermutungen über sexuelle Vorlieben, politische Orientierung und andere private Themen.
Ich bin immer wieder verwundert, wenn Leute seit 20 Jahren gegen die gesetzliche Verpflichtung zur Vorratsdatenspeicherung (bzw. Mindestspeicherpflicht) kämpfen und bei ihren Lieblings-Lifestyle-Gadgets keine Probleme damit haben, wenn Apple oder Google die Kommunikationsdaten freiwillig auf Vorrat sammeln und Behörden zur Verfügung stellen.

Auch Apps sammeln fleißig:
  1. Mit der Software Carrier IQ, die auf über 140 Mio. Android Handys und auf einigen Apples iPhone installiert war, sammelten viele Informationen über die Nutzer für den Mobilprovider. Die Software konnte nicht auf normalen Weg durch den Nutzer deinstalliert werden.
  2. Tausende Apps sammeln überflüssigerweise Standortdaten der Nutzer und übertragen sie an die Entwickler der Apps. Der Bundes­daten­schutz­beauftragte erwähnt beispiels­weise eine App, die das Smartphone zur Taschenlampe macht und dabei den Standort an den Entwickler der App sendet. Einige Spiele der Hersteller iApps7 Inc, Ogre Games und redmicapps gehen in ihrer Sammelwut so weit, dass sie von Symantec als Malware eingestuft werden. Die Spiele-Apps fordern folgende Rechte um Werbung einzublenden:
    • ungefährer (netzwerkbasierter) Standort
    • genauer (GPS-)Standort
    • uneingeschränkter Internetzugriff
    • Browserverlauf und Lesezeichen lesen
    • Browserverlauf und Lesezeichen erstellen
    • Telefonstatus lesen und identifizieren
    • Automatisch nach dem Booten starten
    Auch Spiele von Disney verlangen sehr weitreichende Freigabe, so dass sie nur als Spionage-Tools bezeichnet werden können.
  3. Einige Apps beschränken sich nicht auf die Übertragung der Standortdaten und Ein­blendung von Werbung. Die folgenden Apps haben auch das Adressbuch der Nutzer ausgelesen und ohne Freigabe durch den Nutzer an den Service-Betreiber gesendet:
    • die Social Networks Facebook, Twitter und Path
    • die Location Dienste Foursquare, Hipster und Foodspotting
    • die Fotosharing App Instagram
    • die VoIP Software Viper sowei verschiedene Messaging Dienste
    Besonders brisant wird diese Datensammlung, wenn Twitter alle Daten von Wikileaks Unterstützern an die US-Behörden heraus geben muss.

    Über die Firma Viper findet man kaum Angaben. Sitzt die Firma in Zypern, Israel, USA oder Weissrussland? Die auf der Webseite angegebene Kontakt-Adresse ist ein Brief­kasten auf Zypern, Telefonnummern haben amerikanische Vorwahlen und die Domain versteckt sich hinter Domains by Proxy. Trotzdem haben bisher 50 Millionen Nutzer die Liste ihrer persönlichen Kontakte der Firma zur Verfügung gestellt. Sehr seltsam.

    Eine weitere Studie wies nach, dass eine signifikante Anzahl von Gratis-Apps Daten an ein US-amerikanisches Werbenetzwerk senden. Adressbuch, Kalender und Aufenthaltsort werden routinemäßig an das Werbeunternehmen MobClix weitergeleitet.
  4. Die App von Facebook fordert bei der Installation folgende Rechte:
    • Lesender Zugriff auf alle SMS und MMS
    • Zugriff auf Kalendertermine sowie vertrauliche Informationen
    • ohne das Wissen der Eigentümer Kalendertermine hinzufügen oder ändern
    • E-Mails an Gäste senden
    Ein Entwickler von Facebook versicherte, das man diese Rechte nie voll ausnutzen wird. Die Facebook-App braucht diese Rechte nur für die Authentifizierung und um einen Kalender-Feed anzulegen. Ich bin mir ganz sicher: "Niemand hat vor..."
    Aber wer würde einem Mitglied der PRISM-Gruppe diese Rechte einräumen? 

    Warum weiß Facebook welche Apps ich nutze? Eine interessante Frage, die Mike Kuketz in seinem Blog beantwortet. 
  5. Viele E-Mail Apps übertragen bei Einrichtung eines E-Mail Accounts die E-Mail Adresse und das Passwort für den Account an den Hersteller. Hey - das nennt man "Phishing"!

    Die Server der App Hersteller verwenden die Login Credentials, um sich bei dem externen E-Mail Account einzuloggen und schauen nach neuen E-Mails, laden die Mails auf den eigenen Server, beschnüffeln sie manchmal ein bisschen und benachrichtigen den Nutzer dann per GCM-Push über neu eingetroffene E-Mails.
    • Prominentes Beispiel ist die MS Outlook App für iOS und Adroid. Das EU Parliament's IT department (DG ITECS) hat deshalb die Nutzung der MS Outlook App verboten. In dem Privacy Statement findet man den Hinweis, dass die Login Credentials für E-Mail Accounts (Username, Passwort) von Microsoft gesammelt werden und dass sich MS die E-Mails von den Providern holt und verarbeitet:
      Email Credentials: We collect and process your email address and credentials to provide you the service.

      Email Data: We collect an process your email messages and associated content to provide you the service. [...]
    • M. Kuketz nennt in seinem Blog mit den E-Mail Apps BlueMail, TypeMail Mail.Ru, myMail u.a.m. weitere Beispiele. Mit der Einrichtung des E-Mail Accounts in der BlueMail App gibt man der Firma das Recht, in dem Mail Account zu schnüffeln:
      When you link your email accounts (provided by third parties) to Blue Mail, you give Blue Mail permission to securely access your information contained in or associated with those accounts.
      Außerdem beschnüffelt der BlueMail Server die E-Mails und wertet z.B. die Geolocation Tags in versendeten Fotos aus. Wer das nicht möchte, soll eine Kamera verwenden, die keine Geolocation Informationen in den Fotos speichert. Auch diese Schnüffelei wird juristisch korrekt im Privacy Statement benannt:
      Geolocation
      Photos you take or attach in Blue Mail may contain recorded location information. If you'd rather not have location data associated with your photos, please consult the documentation for your mobile device's camera feature to disable it. Some of the information Blue Mail uses to communicate with your device - like its IP address - can be used to approximate the device's location. This information may be used to administer, analyze and improve Blue Mail.
    Vertrauenswürdige Alternativen für E-Mail Apps sind K9Mail oder Maildroid. Nach dem Wechsel auf eine vertrauenswürdige App sind unbedingt die Passwörter zu wechseln!
  6. Die Security-Suites von Avira, Bitdefender und AVG werben mit einer einfachen Lokalisierung des Smartphone bei Diebstahl. Dafür werden die Standortdaten ständig an die Firmen übertragen, auch wenn man den Diebstahlschutz deaktiviert hat.
Lizenz: Public Domain