News Android: 18.000 Apps verfolgen unerlaubt Nutzeraktivitäten

[Crowbar]

Die IMEI, die SIM-Nr. und die MAC durch irgendwelche App-Anbieter geheim zu erfassen ist demnach legal? Kann ich mir nicht vorstellen.

Ergänzung (16. Februar 2019)

Ach, da unterlässt du natürlich gleich die wichtigen Infos. Unten im Artikel wird zum neuen Artikel verlinkt (nur einen halben Tag später), wonach Apple bereits reagiert hat und den betroffenen App-Anbietern eine 24h-Frist zur Behebung des Missstandes gesetzt hat, ansonsten fliegen die Apps raus. Auch erwähnt wird, dass Google sich noch nicht einmal zu der Sache geäußert hat, obwohl ganz offensichtlich auch die Android Apps betroffen sind, zumindest bei Air Canada hat das ein Forumsnutzer nachgewiesen.

Also wo bitte ist da iOS kein Deut besser? Sie sind doch ganz offensichtlich besser, schon allein weil sie zeitnahe und einigermaßen konsequent reagieren, während Google sich mal wieder taub stellt.

Apple ist keineswegs perfekt, die Sicherheit von iOS auch nicht, aber verglichen mit dem, womit sich der Ottonormal-Android-User rumplagen muss, ist es ein Segen, schon allein weil Apple auch tatsächlich, und meist auch zeitnahe reagiert, und auch nicht vor den großen Mitspielern zurückschreckt (Google und Facebook, inzwischen wieder geklärt). Für mich ist das keine Wahl zwischen Pest und Cholera, sondern zwischen Migräne und Ebola. Hätt ich nicht einen Sony Fernseher mit EbolaTV AndroidTV, könnts mir ja komplett wurscht sein, aber leider bin ich dadurch auch irgendwo betroffen, selbst wenns da natürlich nicht ganz so dramatisch ist, da das Teil wenigstens keine Kamera und kein Mikrofon hat, nicht bewegt wird, ich nur 3 Apps benutze, und keine Bilder oä darauf gespeichert werden.

Zwar habe ich selbst ausschließlich Android-Geräte, da ich mit der iOS-Bedienung absolut nicht klar komme, aber ich gebe dir zu 100% recht. Im Vergleich zum Apple-Apo-Store scheint im Playstore Anarchie zu herrschen und Google nimmt das hin. Preußen vs. Afghanistan.

Ergänzung (16. Februar 2019)

@stevefrogs

Lebe weiter deinen Traum iOS / iCloud sei sicher.

Ansonsten kannst du dich mal einlesen was mit US-Anbietern einer sicheren Verschlüsselung passiert ist, die nicht mit US-Behörden zusammenarbeiten wollten.

Spoiler: Diese Unternehmen existieren nicht mehr.

Ich frage mich, was du so treibst, dass du befürchtest, der US-Patriot-Act könnte gegen dich angewandt werden...

 

[Cpt.Yesterday]

@Crowbar

Nur mal die wichtigsten Eckpunkte zum Nachdenken für die ewig Gestrigen:

• Bereitstellung der Daten an Behörden aller EU-Staaten und Staaten des Five-Eyes-Abkommen
• Wirtschaftsspionage (Hauptbetätigungsfeld der NSA), einfache Mitarbeiter sind schon immer die beste Sicherheitslücke gewesen

 

[Turrican101]

Es gibt einen ganzen App-Store für kostenlose Apps. Nennt sich F-Droid.

Da darf man aber nicht zuviel erwarten. Sind nur wenige hundert Apps da und das meiste eher Tools für Technik-Nerds. Die Spielesektion ist ein Witz, da geht nix über Solitär/Sudoku hinaus. Außerdem fehlen bei vielen Apps die Screenshots oder ne vernünftige Beschreibung.

 

[MikeMayers]

Ich frage mich, was du so treibst, dass du befürchtest, der US-Patriot-Act könnte gegen dich angewandt werden...
[/QUOTE]

Wow, jetzt hast du es ihm ordentlich gezeigt mit deiner vollig unbegründeteten, unnötig persönlich werdenden, diskeditierenden implizierten Verdächtigung und den vielsagenden ... am Ende.
Was ist er nun - Terrorist oder Kinderf.... ?
Whataboutism at its best.

 

[Be0w0lf]

F-Droid nutze ich auch gerne. Ansonsten nicht einfach alles installieren ohne sich über die Berechtigungen der Apps schlau gemacht zu haben. Wenn z.b. eine Taschenlampen App deinen Standort wissen möchte, sollten schon die Alarmglocken schrillen. Bißchen Brain.apk/ipa sollte schon vorhanden sein. Werbefinanzierte Apps kommen bei mir erst recht nicht in die Tüte. Dann zahle ich lieber einen Obulus für die App und gut ist. Vieles dieser sogenannten "Apps" lassen sich auch wunderbar mit dem Browser ersetzen. Ein Bookmark auf dem Homescreen und da hast du deine App.
Das entbindet natürlich weder Google noch Apple von der Verantwortung, das solche Müll Apps überhaupt erst in deren Stores angeboten werden dürfen. Da sind die mir zu lasch.

 

[testwurst200]

Die Spielesektion ist ein Witz, da geht nix über Solitär/Sudoku hinaus.

Das sollte einen schon nachdenklich machen

Wie können da aber apps wie adaway oder adguard helfen? Die Werbung ist damit weg aber auch alle tracker?

 

[Tuxgamer42]

Du musst wohl eine alternative Liste verwenden, in der mit den 20 beliebtesten ist kein Google ... dabei.

Das ist natürlich ebenso richtig wie nicht weiter verwunderlich.

Worum geht es hier denn gleich noch mal?
Richtig, Apps, die die ad ID mit anderen identifizierbaren Daten übetragen.

Wo kommt idese ad ID noch einmal her?
Ach ja, die wird von den Google Play Services gestellt.

Irgendwie nicht die Überraschung, dass Google nicht in jeder App die ad ID überträgt - wieso auch?

Ergänzung (16. Februar 2019)

Ich frage mich, was der Grund dafür ist, dass anscheinend nur Playstore-Apps gescannt werden können. Ist denn davon auszugehen, dass die Versionen der Apps, die man über F-Droid bezieht, von solchen 'Trackern' befreit worden sind?

Muss ja, der allgemeine "Tracker" ist ja wohl kaum Open Source und damit im F-Droid nicht erlaubt .

Und sollte trotzdem wie beim Firefox default Analysedaten übermittelt werden, werden die Apps klar sichtbar mit "Anti Feature" gekennzeichnet.

Ergänzung (16. Februar 2019)

Also wo bitte ist da iOS kein Deut besser? Sie sind doch ganz offensichtlich besser, schon allein weil sie zeitnahe und einigermaßen konsequent reagieren, während Google sich mal wieder taub stellt.

Ach ja, da aus der FAQ des Exodus Privacy Projects 1):

What about iOS apps?

Apple’s DRMs strictly forbid us to investigate so we can not say. However, the applications of both OS are often made by the same teams/agencies and the trackers’ SDKs are often available for both Android and iOS. The suspicions are therefore strong that the trackers of one are also in the other.

Ist natürlich cool, wenn nicht einmal erlaubt ist, die Apps nach (bekannten) Trackern durchzuchecken...


1) Keine Ahnung, wieso ich die Quelle nicht verlinken darf - muss eben jeder, der will, selber mit $SUCHMACHINE seiner Wahl die Exodus Privacy Seite finden.

 

[stevefrogs]

Ist natürlich cool, wenn nicht einmal erlaubt ist, die Apps nach (bekannten) Trackern durchzuchecken...

Scheint aber andere Sicherheitsforscher nicht aufzuhalten, die benutzen vermutlich andere Methoden. Exodus Privacy Project schön und gut, aber sie können mit ihrer Vorgehensweise scheinbar auch nicht unterscheiden, ob ein Tracker einfach nur vorhanden, oder auch aktiv ist. Und letztendlich: am Ende muss der Store-Betreiber auch aktiv werden, ist ja schön, wenn die 0,1% Nutzer sehen können, was sich die Apps erlauben, die restlichen 99,9% haben aber weiterhin keine Ahnung und laden die Apps aus dem Play Store.

Lebe weiter deinen Traum iOS / iCloud sei sicher.

Hast du eine Quelle, dass die aktuelle iOS Version geknackt wäre? Und selbst wenn ein Update notwendig wird, der Großteil der User bekommt die Updates auch zeitnah, was man bei Android nun wirklich nicht sagen kann. Wieviele Android Nutzer laufen noch mit komplett veralteten Versionen umher und sehen nie Updates?

iCloud ist optional und man kann sehr gut kontrollieren, was man mit der iCloud synchronisiert, falls man das überhaupt möchte. Ich hab beispielsweise nur Kontakte und Notizen synchronisiert, da steht bei mir wirklich nix geheimes drin und mit wem ich in Verbindung trete kann der Staat leider auch viel einfacher und detaillierter einsehen, als über mein iCloud Daten.

Ihr Android-Fanboys seit echt wie Impfgegner. Da werden eure Kinder von längst besiegt geglaubten Krankheiten geplagt, und alles was euch einfällt ist: Impfen (Apple) verursacht Autismus!

 

[storkstork]

Unsinn. Der OS-Hersteller hat eh die technische Möglichkeit, "alles" zu wissen, diesem muss ich so oder so vertrauen (oder meine Software selber bauen).
Aber das Monopol an meinen Daten bleibt bei mir, denn ich darf entscheiden, welchen OS-Hersteller ich nehme.

Ähh nein! Ich muss einem OS-Hersteller da nicht vertrauen. Ich kann ein OS auch völlig offline nutzen. Ich kann Android z.B. auch ohne Google nutzen.
Die Möglichkeit, dass der Hersteller Zugriff auf alles haben kann, ist sicher korrekt, aber das muss ich als Nutzer nicht zulassen.

 

[Slurpee]

Ihr Android-Fanboys seit echt wie Impfgegner. Da werden eure Kinder von längst besiegt geglaubten Krankheiten geplagt, und alles was euch einfällt ist: Impfen (Apple) verursacht Autismus!

Also zuerst dachte ich ja, du wärst nur ein naiver Fanboy, aber nachdem Abschnitt bin ich zu 100% überzeugt, dass deine Meinung rein auf Fakten und Vernunft beruht!

 

[Tuxgamer42]

Exodus Privacy Project schön und gut, aber sie können mit ihrer Vorgehensweise scheinbar auch nicht unterscheiden, ob ein Tracker einfach nur vorhanden, oder auch aktiv ist.

Ja genau, die Tracker in der App sind nur zur Deko da. Gut, eigentlich weil sonst die App zu klein gewesen wäre.

Vor allem, weil es tatsächlich passieren soll, dass versehentlich Tracker in eine App eingebaut werden, weil die App eben gegen irgendein Framework gebaut wird. Dann passierts aber übrigens auch, dass die Tracke versehentlich aktiv sind .

Und letztendlich: am Ende muss der Store-Betreiber auch aktiv werden, ist ja schön, wenn die 0,1% Nutzer sehen können, was sich die Apps erlauben, die restlichen 99,9% haben aber weiterhin keine Ahnung und laden die Apps aus dem Play Store.

Es geht ja schon allein um die entsprechende Medienressonanz. Und um die Möglichkeit, Apps nach bekannten Trackern checken zu können - wie du es auf iOS nicht einmal hast.
Dass letztendlich dann doch der größte Teil der Bevölkerung sich nicht für Privatsphäre interessiert - ist traurig, aber ist so.

Scheint aber andere Sicherheitsforscher nicht aufzuhalten, die benutzen vermutlich andere Methoden.

Genau, wie erst kürzlich bei der Geschichte mit Air Canada!

Da war die "Methode": Googlen wir halt n bisschen.

Und irgendwer ist dann wohl die Hompage des Tracking-Tool Herstellers "Glassbox" gestoßen (frei für jeden zugänglich) und entdeckt: Da wird ja nicht nur die App ins Detail erklärt; da findet sich ja sogar Pressebericht mit großer Überschrift: "Air Canada chooses Glassbox"!
Na und dann hat man noch bisschen Man in the Middle per Proxy gespielt - was schon die Frage aufwirft, wieso die Verbindungen offensichtlich nicht entsprechend geschützt waren.

Also ernsthaft.

Es ist offensichtlich kein Geheimniss, dass genau solche Tracking Realität ist! Du schreibst das wortwörtlich auf deine eigene Internetpräsenz! Ernsthaft, du twitterst sogar, dass du den Nutzer genau so trackst!

Umso lustiger nur die Reaktion von Apple: Ja und diesen Apps geben wir jetzt einen Tag (!) - also nachdem Nachrichtenseiten darüber berichtet haben.

Gut, an der allgemeinen Situation mit Trackern wird sich dadruch nichts ändern. Aber der naive Nutzer bekommt den Eindruck im App Store vor Trackern sicher zu sein, während er munter getrackt wird.

 

[Rexus]

Muss ja, der allgemeine "Tracker" ist ja wohl kaum Open Source und damit im F-Droid nicht erlaubt .

Genau da war ich mir nämlich nicht so ganz im Klaren! So wie ich es aus den vorherigen Posts und den verlinkten Artikeln verstanden habe, sind aufgrund dessen, dass die Entwickler diverse Software"pakete" (SDKs) von Google, Facebook, etc. verwenden, um die App zu bauen, quasi "standardmäßig" gewisse Abschnitte im Code enthalten, die es Google, Facebook und den anderen SDK-Anbietern erlauben, über eine fremde App (die deren SDK verwendet) die User zu tracken. Ich gehe davon aus, dass diese SDKs von Google, Facebook und Co. öffentlich einsehbar sind und von jedem verwendet werden dürfen, um sich seine Apps zu basteln.

Zu F-Droid: Bisher dachte ich nur, dass es ausreicht, wenn der Sourcecode für eine App irgendwo im Internet zu finden ist, um sie auf F-Droid anzubieten. Dass F-Droid hingegen explizit den Sourcecode anfordert, die App selbst kompiliert, und sogar anscheinend die App von Trackern befreit, oder diese im Code deaktiviert, das war mir nicht bekannt.

 

[Crowbar]

@Crowbar

Nur mal die wichtigsten Eckpunkte zum Nachdenken für die ewig Gestrigen:

• Bereitstellung der Daten an Behörden aller EU-Staaten und Staaten des Five-Eyes-Abkommen
• Wirtschaftsspionage (Hauptbetätigungsfeld der NSA), einfache Mitarbeiter sind schon immer die beste Sicherheitslücke gewesen

1. Bist du terroristisch oder kriminell interessiert oder wieso sollten deine Daten innerhalb der Geheimdienste hin- und hergeschickt und bewertet werden?

2. Welche NSA-Aktivitäten im Bereich der Wirtschaftsspionage hat dein Youtube-Professor denn belegen können?

 

[DeusoftheWired]

Zu F-Droid: Bisher dachte ich nur, dass es ausreicht, wenn der Sourcecode für eine App irgendwo im Internet zu finden ist, um sie auf F-Droid anzubieten. Dass F-Droid hingegen explizit den Sourcecode anfordert, die App selbst kompiliert, und sogar anscheinend die App von Trackern befreit, oder diese im Code deaktiviert, das war mir nicht bekannt.

Offen zu sein, ist die erste Hürde. Die zweite und schwierigere ist es, die F-Droid-Inklusionsrichtlinien zu erfüllen, um den Aufnahmeprozeß zu durchlaufen. Offen und frei sind eben doch zwei verschiedene Dinge. Grüße von Stallman.

Die c’t hatte in der 25/2018 und 2/2019 Artikel zu F-Droid, die ich auch als Nicht-Smartphone-Besitzer interessant und lesenswert fand:

https://www.heise.de/select/ct/2018/25/1543822872822459

https://www.heise.de/select/ct/2019/02/1546934391610034

 

[Tuxgamer42]

Muss ja, der allgemeine "Tracker" ist ja wohl kaum Open Source und damit im F-Droid nicht erlaubt .

Genau da war ich mir nämlich nicht so ganz im Klaren! (...) Ich gehe davon aus, dass diese SDKs von Google, Facebook und Co. öffentlich einsehbar sind und von jedem verwendet werden dürfen, um sich seine Apps zu basteln.

Möchte meine Aussage revidieren, weil diese so nicht stimmt - ein Tracking-Framework kann natürlich auch Open Source sein. Tatsächlich fallen durch Open Source jedoch schon einiges an Frameworks heraus. Auch z.B. alles was gegen Google Play Services gelinkt ist.
Übrigens wird auch Facebook SDK (mittlerweile) von F-Droid als "verboten" markiert, obwohl es theoretisch Open Source ist.

Viel wichtiger war sowieso der zweite Teil meiner Aussage - also dass wenn irgendwelche Statistiken übermittelt werden (durch Open Source Bibliothek), die App klar mit AntiFeature:Tracking gekennzeichnet ist.

 

[Cpt.Yesterday]

@stevefrogs

Komm mal runter vom hohen Ross. Ich nutzte parallel beide Systeme (beruflich u. privat). Mal abgesehen von dir kann ich von beiden OS aus Erfahrung berichten und nicht vom Hörensagen und Wunschdenken.

Apple-Fanboys sind jedes mal die reinste Belüstigung mit immer dem selben Ablauf an Argumentationen: Traumblase platzt, man versucht alles andere schlecht zu reden und am Ende wird es grundsätzlich persönlich weil man keine Argumente mehr hat.

... und wofür die Ganze Aufregung?

Wenn du das 3- bis 5-fache für ein Smartphone zahlst gegenüber einen Durchschnittskäufer dann ist es deine Entscheidung. Damit bist du weder sicherer unterwegs noch sind deine privaten Daten und dein Nutzungsverhalten vor Verwendung durch Dritte geschützt. Es fühlt sich nur "edler" an.

Das unhackbare Smartphone oder Betriebssystem werde ich nicht erleben. Ein gesetzliches Verbot zur Weiterverwertung von Kundendaten sehe ich dagegen als realistisch aber nicht wahrscheinlich an.

@Crowbar

http://m.spiegel.de/wirtschaft/unte...nzeige-wegen-industriespionage-a-1031615.html

https://www.zeit.de/wirtschaft/2013-10/nsa-wirtschaftsspionage

https://www.heise.de/newsticker/mel...te-Wirtschaftsspionage-betreiben-2569294.html

https://www.contra-magazin.com/2015...chaftsspionage-in-deutschland-und-frankreich/


... eine Auswahl aus den ersten 10 Treffern einer Suchmaschine.

 

[Turrican101]

Das unhackbare Smartphone oder Betriebssystem werde ich nicht erleben. Ein gesetzliches Verbot zur Weiterverwertung von Kundendaten sehe ich dagegen als realistisch aber nicht wahrscheinlich an.

Es würde ja schon reichen, wenn man bei dem Androidschrottsystem wirklich alle Rechte kontrollieren könnte und nicht nur ne Hand voll ausgewählter Sachen. Aber das will Google ja nicht. Und so haben wir halt 99% Apps, die einfach so nach Hause telefonieren können, ohne dass man das überhaupt weiß.

 

[Slurpee]

Ich hab hier:

Body Sensors, Calendar, Call Logs, Camera, Contacts, Location, Microphone, Phone, SMS und Storage. Was hat IOS denn großartig mehr? Oder wieder mal Android noch nie/vor Ewigkeiten benutzt?

 

[new Account()]

Ich kann dir sagen was fehlt: Internetzugriff, Systeminformationen, ...

 

[Cpt.Yesterday]

Es würde ja schon reichen, wenn man bei dem Androidschrottsystem wirklich alle Rechte kontrollieren könnte und nicht nur ne Hand voll ausgewählter Sachen. Aber das will Google ja nicht. Und so haben wir halt 99% Apps, die einfach so nach Hause telefonieren können, ohne dass man das überhaupt weiß.

Es würde eher was bewegen, wenn die "anderen 99%" der Nutzer sich bewusst werden konnten, dass Sie mit heruntergelassener Hose gegenüber dem OS-Ausgeber stehen. Dann würden Forderungen entstehen und die OS-Anbieter wären unter Zugzwang.

So stolpert man von einer zufälligen medialen Entdeckung zur nächsten. Morgen ist die Sache wieder vergessen und es geht weiter wie bisher.