News Android: 18.000 Apps verfolgen unerlaubt Nutzeraktivitäten

[Fermion]

@Kokuswolf
Magst du vielleicht mal ausführen, welche Dynamik wir als Nutzer vermissen würden, wenn niemand mehr sehen könnte, von welcher Seite wir weitergeleitet wurden und was wir den lieben Tag lang im Internet treiben?
Zeigt man mir dann wieder Jamba-Klingelton-Werbung, an der ich kein Interesse habe?* Damit kann ich leben. Der Werbeindustrie wird's wohl weniger schmecken, das ist richtig.

Dass beispielsweise ein Nachrichtenmagazin Interesse daran hat, wieviele Leser sich für welche Inhalte besonders interessieren, um ihr Angebot besser aufzustellen, kann ich verstehen. Hierfür gibt es ausreichend Möglichkeiten, um das weitestgehend anonym und rein statistisch innerhalb des eigenen Portals zu erfassen. Dafür, dass aber diverse Apps und Dienste Datenschutzmaßnahmen gezielt umgehen und Richtlinien ignorieren um möglichst ausführliche Profile anzulegen, gegen die ich als Nutzer überhaupt nichts unternehmen kann, habe ich kein Verständnis.

Die einzigen Zwecke, die mir in den Sinn kommen, für die diese Dynamik wichtig sind, sind Werbung und Datenhandel.

Oder etwas pragmatischer: Auf ComputerBase bekäme ich thematisch zur Webseite passende Werbung für Hardware und auf einen Motorsport-Portal bietet man mir wieder Felgen und Luftfilter an, anstatt auf beiden Webseiten die gleiche Werbung, die zu meinem Profil passt. Sprich Werbung die sich an den Inhalten der Dienste orientiert, statt auf mich maßgeschneidert ist.

 

[Kokuswolf]

@Sweepi Ich hab kein Mitgefühl für Werbebuden. Aber ich arbeite in dem Bereich, wo Werbebuden genutzt werden (müssen). So trivial ist das nicht. Bzgl. der Monopol-Stellung, die Google, Apple, etc zufallen würde, schrieb ich ja schon was. Ein Monopol ist nur für den Inhaber gut.

 

[G00fY]

Das ganze ist ein Katz- und Maus-Spiel vergleichbar mit den Methoden der Browser-Footprints. Es wird immer Möglichkeiten geben anhand von bestimmten Parametern einen User eindeutig zu identifizieren (zB Liste der installierten Apps und initiales Installationsdatum etc.). Google sollte, auch aus meiner Sicht als Entwickler, dennoch überdenken den Zugriff auf die Android ID einzuschränken.

Die IMEI kann unter Android übrigens nur mit der Berechtigung für Telefonfunktionen ausgelesen werden.

 

[Tronx]

Aber dann über Amazon Echo schimpfen

 

[leipziger1979]

dass eine große Anzahl von Entwicklern mit ihren Programmen entgegen der Richtlinien von Google das Verhalten der Nutzer tracken

Diese Richtlinien besagen sicherlich nur das die Entwickler gegen Gebühr bei Google "legal" tracken dürften aber nicht auf eigene Faust.

 

[Ilsan]

Nutzer verfolgen darf ja nicht jeder. Wo kämen wir denn dahin wenn das jeder App Entwickler dürfte. Nein das dürfen nur Regierungen und Milliardenschwere Konzerne, da ist es okay, aber nicht wenn der einfache Pöbel dies tut

 

[Kokuswolf]

@Fermion Wie gesagt, mir ist bewusst, dass ich hier auf Widerstand stoße. Ich möchte hier nichts runterspielen.

Aber denke bspw. mal an Computerbase. Ich bezweifele, dass sie rein von den Computerbase-Pro Nutzern leben. (Nicht bös gemeint ) Und all die Werbung, die du hier (und überall sonst) siehst, benutzt IDs (nenne ich mal clickID), die von einer Werbebude erzeugt wird. Nun wirst du, weil du einen Banner toll fands, an den Werbenden weitergeleitet um da was zu kaufen. Oder dich zu registrieren, damit du später was kaufst. Oder was einem noch interessant erscheint.

Problem an der Sache ist, dass es in der Webseiten-Welt so reichen könnte. Nach einem Event wie einem Kauf oder einer Registrierung wird diese clickID an die Werbebude geschickt. Dadurch werden diverse Auszahlungsmodelle möglich, sodass jeder in der Kette verdienen kann, weil die Werbung an dieser Stelle gut ist. Gut bedeuetet, das die Kunden da tatsächlich an der Werbung interessiert sind. Auf anderen Seiten hingegen kommt es zu keinen Events, daher lohnt es nicht für den Werbenden.

Das Problem sind Ökosysteme wie Android oder iOS, die hier eine "natürliche" Grenze bilden. Bspw. wirst du auf eine App per Banner hingewiesen und du lädst die runter. Nach App-Start gibt es keine (bei Android momentan noch) Information mehr über den User, der den Banner angeklickt hat und der zum Store weitergeleitet wurde. In diesem Bereich wird extrem viel Fraud (Missbrauch durch Werbepartner oder deren Partner) produziert, indem bestimmte Ereignisse gefakt werden. Um sich dagegen zu schützen, bedarf es einer einigemaßen guten Erkennung des Gerätes. Nicht des User, sondern des Gerätes. Der Mensch selbst ist gar nicht wichtig, aber die Info, dass es einer ist und dass dieser unique (einzigartig) ist.

Viele Gratis-Apps bieten darüber hinaus Dinge an wie: "Lade die XY runter und registrier dich, um X Coins zu erhalten". Das nennt man Incentivized Traffic. Dieser ist sehr lukrativ für Werbende, da hier tatsächlich User etwas tun und sich so andere Produkte ansehen. Nur so als Ausblick.

Natürlich verstehe ich den Wunsch, dass man vollständig anonym bleiben will. Aber das würde zum starken Aussterben der Vielfalt führen. Auch das kann man vielleicht sogar wollen, aber halt nicht pauschal jeder. Es gibt einiges an Apps, Games, Musik, Videos, die ich persönlich nur aufgrund so einen Profils vorgelegt bekam. Und ich mag diese Option.

Das liegt aber daran, das ich persönlich(!) hier unterscheide, was ich bin und was nur ein Bewegungsprofil im Internet ist. Ersteres möchte ich genauso schützen. Letzteres dient mir, wie ein Werkzeugt, von dem ich gar nichts mitbekomme. Aber dieses Werkzeug bin nicht ich, das sagt nichts über mich aus. Insofern habe ich daran ein anderes Schutzbedürfnis.

Ich möchte auch nur auf diesen Unterschied aufmerksam machen. Ich möchte nicht sagen, was davon richtig ist. Dafür bin ich nur einer.

Edit: Verbesserungen in der Beschreibung.

Disclaimer: Ich habe einige technische Details verkürzt, da ich so schon einen Roman schrieb. Wer sich da auskennt, würde mich da bestimmt verbessern wollen. Mir geht es nur um den Ansatz.

 

[dMopp]

@Affenzahn Meiner persönlichen Meinung nach sollte unterschieden werden, was das für Daten sind. Nach der DSGVO würde alles zählen, bis runter zur IP, das nur irgendwie mit einer Person zu tun hat. Für mich ist eine IP keine persönliche Information. Nicht mehr als ein Fahrzeugnummer. Natürlich weist sie auf mich. Aber das bedeutet noch nicht, das dies gleich schlimm ist.

Ich denke der Schutz sollte da beginnen, wo Daten verkauft werden. Wenn ich eine Webseite besuche und ein Profil darüber angelegt wird, welche Unterseiten ich so besuche, dann möchte ich nicht, das nach einer Regstrierung ein Bewegungsprofil an eine dritte Firma verkauft wird. Aber wenn es bedeutet, dass mir ein Angebot (in Form einer Werbung) gemacht werden, dann sehe ich kein Problem.

Wie gesagt, das ist meine persönliche Perspektive. Enorm vieles von heute sehen wir aufgrund eben solcher Profile. Litfaßsäulen und Plakate (@DeusoftheWired ) sind natürlich bestmöglich anonym. Aber finde mal die Litfaßsäule oder das Plakat, wo du etwas findest, was du magst. In unserer Welt, insbesondere im Internet, gibt es so viel, da kann man ganze Städte mit Plakaten zukleben.

Ich wünschte mir etwas mehr Reflektion darüber, was ein Datum (aus allen Daten) über mich tatsächlich aussagt, und was tatsächlich unserer Bequemlichkeit hilft. Vieles wird mit der Persönlichkeit assoziert, das nicht viel damit zu tun hat. Ich bin keine IP-Adresse, oder nur ein Fan von einer Band.

Abgesehen davon stimme ich dir zu, GPS-Daten braucht es nicht in Angrybirds. Sowas sollte geächtet sein. Die Folge dieser Diskussionen ist nur oft, dass auf einmal gar nichts mehr möglich ist. Ausser natürlich für Google, Apple, Facebook, etc. selbst.

Eine VIN/FIN ist tatsächlich ebenfalls ein Persönliches Detail, frag mal die Carsharingdienste ...

 

[0x8100]

zum selber testen -> https://reports.exodus-privacy.eu.org/en/

 

[Kokuswolf]

Eine VIN/FIN ist tatsächlich ebenfalls ein Persönliches Detail, frag mal die Carsharingdienste ...

Ich weiß. Die DSGVO lässt da keinen Spielraum. Alles was irgendwie auf eine Person hinleiten kann, ist ein schützendwertes Attribut. Die größte Blüte aus Sicht eines IT-Unternehmes ist übrigens die Firmen-eMail-Adresse, wo der Name drin steht. Die Implikationen, die das mit sich bringt, dass bspw. ein registrierter Account mit der eMail-Adresse faktisch unerreichbar für die Firma wird, wenn der Mitarbeitet kündigt (oder anderweitig unerreichbar wird), sind enorm.

 

[Sweepi]

@Kokuswolf

Das Ergebnis ist aber kein "Monopol", das Ergebnis ist "kein Markt", die Daten werden nicht angeboten.

 

[G00fY]

Die Aussage der "Sicherheitsexperten" die hier auch Computerbase blind zitiert sollte man übrigens mit Vorsicht genießen.
Grundsätzlich ist die Identifizierung für personenbezogene Werbezwecke nicht zulässig. Für Marketing und Business Analysen jedoch sehr wohl. Einige App Hersteller haben hierzu auch schon Stellung bezogen:

A Cheetah Mobile spokesman said in an email that its apps send a device's Android ID to a company that helps it track installations of its products. The information isn't used for targeted ads, and the company complies with all relevant Google policies and laws, the spokesman said.

Flipboard said it doesn't use the Android ID for ad targeting.

Kann man glauben oder nicht, aber grundsätzlich ist das Übermitteln dieser ID nicht "unerlaubt"! In der Studie sieht man ja auch dass von den bekannten Apps die meisten Daten an Dienste wie https://www.appsflyer.com/ oder https://branch.io/ gehen. Dies sind Plattformen für Marketing Analysen.

Natürlich mag es auch schwarze Schafe geben. Aber allein die Tatsache dass beispielsweise die Android ID ausgelesen wird ist nichts verwerfliches.

 

[Kokuswolf]

@Sweepi Denkst du, dass Google oder Apple nur noch eigene Apps verkaufen wollen? Natürlich werden sie diese Daten verwenden, um einen Store zu realisieren. Das ist eh die große Bewegung in den letzten Jahre. Nicht ohne Grund gibt es Konkurrenz zu Steam, damit bessere Preise möglich sind.

Das Monopol, dass ich meine, bezieht sich auf das Ökosystem. Entweder ist es offen für andere, oder geschlossen. Apple ist hier Vorreiter für ein geschlossenes. Und das hat teils Vorteile, bspw. sehr viel sehr stark durch Apple geprüft wird. Aber der Nachteil ist, dass am Ende Apple deart groß wird, dass sich kaum noch eine Alternative bilden kann. Kaum eine Bezahlmethode, die nicht durch Apple kontrolliert und abgewickelt wird. Und Apple oder Google verwenden deine Daten sowieso, nur das du im Wissen bist, dass es "nur" dieser eine Megakonzern ist.

Ernst gemeinte Frage. Wo liegt der Unterschied, wenn nun auch ein Dritter deine IP-Adresse oder ähnliche Information hat, damit dieser ein eigenes Bezahlmodel für Werbung aufbauen kann und einem Ökosystem von Google, das dieses Bezahl-/Werbemodel nur unter seine Kontrolle hat. Was genau ändert sich für dich?

 

[MajorApplePie]

Hier ne kurze Liste welche Apps diese Liste anführen:

Du musst wohl eine alternative Liste verwenden, in der mit den 20 beliebtesten ist kein Google ... dabei.

 

[Luthredon]

Ja, vllt. Trotzdem ändert das nichts das daran, dass das geändert werden muss.

Yep, gleich nachdem Weltfrieden erreicht wurde ...

 

[Christock]

So soll der Konzern in den letzten fünf Monaten seit der Übermittlung der Ergebnisse keine Informationen darüber verlauten haben lassen, wie er mit dem tiefgreifenden Problem in Zukunft umgehen wird.

Hier müsste "verlautet" stehen, weil Konstruktionen mit Modalverben im subjektiven Gebrauch mit dem Partizip II gebildet werden.


Mal eine Frage an die Experten: Wenn ich eine App immer nur dann verwende, wenn keine Datenverbindung besteht, kann sie dann auch keine Daten weiterschicken? Oder ist es möglich, dass eine App die Daten offline sammelt und an die eigenen Server rausleitet, sobald eine Datenverbindung besteht, obwohl sie gar nicht geöffnet ist?

 

[Sweepi]

@Kokuswolf

Wo liegt der Unterschied, wenn nun auch ein Dritter deine IP-Adresse oder ähnliche Information hat, damit dieser ein eigenes Bezahlmodel für Werbung aufbauen kann und einem Ökosystem von Google, das dieses Bezahl-/Werbemodel nur unter seine Kontrolle hat.

Ich möchte meine Daten nicht bei Google haben. Ich möchte Anbieter, die wie Apple ihr Geld "ehrlich" mit Hardware bzw. einmaligen oder monatlichen Kosten verdienen.
Apple und andere Anbieter, welche so arbeiten, arbeiten daran diese Daten gar nicht erst zu sammeln - sieht man auch bei Gerichtsbeschlüssen "Die Daten koennen wir euch nicht geben, die haben wir gar nicht".

ein Dritter deine IP-Adresse

ein Dritter?!
Ich moechte gerne 0 Dritte, aber meistens werden die Daten von zig-tausenden erfasst, untereinander getauscht oder verkauft, und wenn davon auch nur einer
a) Pleite geht,
b) gehackt wird, oder
c) die Daten von einem Mitarbeiter woanders hingetragen werden,
sind die Daten öffentlich, die Menschen stehen blöd da, für die Daten-sammel-firmen ist das geschäftlich jedoch egal.

 

[Kokuswolf]

@Sweepi Ah, ich sehe, meine Intention kam nicht an. Mir ist klar, dass du das nicht willst. Das ist offensichtlich. Meine Frage ging dahin, was anders wäre. Apple/Google können auch gehackt werden. Mitarbeiter könnten Daten mitnehmen, etc. Das ändert sich nicht. Und es wird sogar wahrscheinlicher, wenn wir uns in Sicherheit wiegen.

Ich mag zu meinem Roman noch anfügen, dass in Folge unserer Privatsphärenbemühungen wir am Ende nur noch einem Megakonzern (je Ökosystem-Art) unsere Zustimmung geben, Daten über uns zu sammeln. Wir werden zu einer Google-Jünger, einen Apple-Geek oder einen Microsoft-Aussenseiter, so ironisch letzteres auch klingen mag.

Was noch ironischer daran ist, dass diese Konzerne schon jetzt weltumspannend sind und maßgeblich unser Leben beeinflussen. Natürlich fühlen wir uns sicher, da wir hier klar zugestimmt haben und all die bösen da draußen haben kein Recht mehr. Aber wenn ich mir vorstelle, dass diese Anonymität faktisch nichts verändert, dass diese Konzerne Absprachen mit Regierungen haben, dass sie erwiesenermaßen auch nicht so gut damit umgehen, wie sie es immer vermitteln.... dann stelle ich mir die Frage, was ich von meiner Anonymität ausserhalb des Megakonzern wirklich gewonnen habe.

Bin ich sicherer vor Menschen, die sich tatsächlich für meine Aktivitäten interessieren? Bekomme ich keine zugeschnittene Werbung mehr? Kann niemand mehr meine Kontodaten erfahren? Oder bin ich hier auch nur nennenswert sicherer aufgestellt?

Auf der anderen Seite führt das dazu, dass wir entweder diese Konzerne meiden können, indem wir gar nicht dran teilnehmen. Kein Smartphone. Kein Tablet. Kein Games (über Steam bspw.). Kein bestellen aus dem Ausland (über Amazon). Oder die vorgegeben Regeln annehmen müssen. Die Vielfalt wird reduziert, je mehr es nur diese Konzerne gibt.

Wenn es dann nur noch diese Konzerne gibt, die an jeder Aktion von uns mitverdienen, wird es keine Alternativen geben. Der Ort, wo meine Daten liegen, wird auch gleichzeitig das Zentrum allem sein, worum es dabei geht. Insofern wäre es so, als wüssten jetzt schon alle alles. (Was im Internet passiert.)

Diversität hat Vorteile. Datenschutz ist überflüssig, wenn wir einem Konzern alles erlauben und dieser zugleich ein Monopol in diesem Bereich hat. Wer spielt dann noch mit, vor dem Daten geschützt werden müssten.

Das ganze ist natürlich sehr bildhaft beschrieben. Aber es soll meinen Gedanken beschreiben. Datenschutz sollte im richtigen Kontext liegen.

Mal eine Frage an die Experten: Wenn ich eine App immer nur dann verwende, wenn keine Datenverbindung besteht, kann sie dann auch keine Daten weiterschicken? Oder ist es möglich, dass eine App die Daten offline sammelt und an die eigenen Server rausleitet, sobald eine Datenverbindung besteht, obwohl sie gar nicht geöffnet ist?

Können sie, das ist nichts aussergewöhnliches. (Unter Android können Apps dein WLAN oder Datenverbindung auch selbstständig einschalten.)

 

[stevefrogs]

Irgendjemand sollte eine Android-App rausbringen, die Android-Datenskandale übersichtlich aufbereitet, man kommt da ja überhaupt nicht mehr mit. Bonuspunkte, wenn die App ebenfalls die Daten ausspioniert. 😁

 

[Sweepi]

@Kokuswolf

Apple/Google können auch gehackt werden. Mitarbeiter könnten Daten mitnehmen, etc. Das ändert sich nicht. Und es wird sogar wahrscheinlicher, wenn wir uns in Sicherheit wiegen.

Die Wahrscheinlichkeit, dass einer der zwei größten und kompetentesten Player im Markt gehackt werden, ist um mehrere Potenzen kleiner, als die Wahrscheinlichkeit, dass eine von 1000enden Werbebuden gehackt wird.

Zudem geht (wie gesagt) der Trend dahin, dass Anbieter wie Apple keine Daten erheben. Die Daten bleiben auf den Geräten und werden Ende zu Ende verschlüsselt an andere Endanwender versendet, der Anbieter sieht sie nie! Bei iOS, macOS und Linux wird z.B. die Gesichtserkennung der privaten Photobibliothek auf dem Gerät selber durchgeführt und verlässt dieses nicht.