Sicherheitsforscher haben um die 18.000 Android-Apps im Google Play Store aufgespürt, die die Nutzer über eine Werbe-ID tracken und damit gegen Google-Richtlinien verstoßen.
Anzeige
Aufgefallen ist die AppCensus, eine Organisation mit Sitz in Berkeley, Kalifornien, die von Forschern aus der ganzen Welt gegründet wurde und über Erfahrungen in einer Vielzahl von Bereichen verfügt, die von Netzwerken und Datenschutz bis hin zu Sicherheit und Benutzerfreundlichkeit reichen. Über den Fall hat Bleeping Computer hier berichtet.
Die 18.000 Android-Apps aus dem Google Play Store könne teilweise über Hunderte Millionen Installationen verzeichnen. Sie sammeln persistente Gerätekennungen wie Seriennummern, IMEI, WiFi-MAC-Adressen, SIM-Karten-Seriennummern und senden diese mit der Werbe-IDs an Domains für mobile Werbung. Damit verletzen die Apps die Richtlinien von Google zur Play Store Advertising ID, die eine vollkommene Transparenz gegenüber dem Nutzer erfordern.
Einige der Unternehmen, die hinter diesen Apps stehen, argumentieren zwar höchstwahrscheinlich, dass sie keine persistenten Gerätekennungen für das Targeting von Anzeigen verwenden. Dennoch verstoßen sie gegen die Richtlinien von Google für die Play Store Advertising ID.
Reset der Advertising ID auf iOS und Android, Quelle: Bleeping Computer
Anzeige
Es gibt zwar unter iOS und Android eine Möglichkeit, die Advertising ID zurückzusetzen, wie der obige Screenshot zeigt. Das heißt aber nicht, dass der Benutzer dadurch eine neue und 'unbekannte' Werbe-ID bekommt. Denn die App-Entwickler nutzen weitere Daten wie Seriennummern, IMEI, WiFi-MAC-Adressen, SIM-Karten-Seriennummern und ordnen sie der Werbe-ID zu. Damit nützt das Zurücksetzen der Werbe-ID durch den Benutzer nichts, sein Gerät ist durch die anderen Daten bekannt. Dann wird die neue Werbe-ID den alten Datensätzen zugeordnet. Eine Liste von Apps findet sich auf Bleeping Computer.
Bisher hat sich Google m.W. zu diesem Sachverhalt noch nicht geäußert. Generell ist das Thema 'App und Datensammlei' wohl eher ein Haifisch-Becken. Ich hatte es im Blog nicht thematisiert, aber Anfang Januar 2019 kam The New York Times mit diesem Artikel heraus. Los Angeles beschuldigt die Weather Channel-App von Covertly Benutzerdaten abgegriffen zu haben. Die App erfasste Standortinformationen von Millionen amerikanischer Verbraucher und teilte diese wohl mit Datenbrokern. Der Stadtstaatsanwalt von Los Angeles erhob deshalb Anklage gegen den App-Anbieter.
Anzeige
Kann man den Store eigentlich mit einem Fake-Account nutzen?
Ich verstehe sowieso nicht, warum man zur Nutzung von Gratis-Apps ZWINGEND seine persönlichen Daten preisgeben soll.
Bei F-Droid ist das nennen persönlicher Daten nicht notwendig. Leider gibt es die Bahn-App dort nicht.
https://www.androidpolice.com/2019/02/15/google-plans-to-let-preloaded-apps-update-via-google-play-even-if-you-dont-log-in/
Das Ganze, was Du vorhast, ist ein Oxymoron – Bahn-App mit persönlichen Informationen mit einem Fake-Account aus dem Google Play Store beziehen und hoffen, anonym zu bleiben?
Der Bahn möchte ich meine Daten schon geben, aber nicht dem Google Store.
Wenn es die Bahn-App DIREKT bei der Bahn gäbe, würde ich diese von dort beziehen.
Google braucht ja nicht zu wissen, wer die Bahn-App nutzt. Das geht IHMO nur die Bahn etwas an, nicht aber Google.