- In mehr als 2000 im App Store und bei Google Play gefundenen Apps wurden Hinweise darauf entdeckt, dass sie Standortdaten ohne Zustimmung der Nutzer sammeln
- Der Autor dieses Beitrags hat diese Standortdaten selbst gekauft, um zu testen, ob er sich damit selbst verfolgen kann
- Das Fazit: IP-Adressen und Standortdaten lecken an allen möglichen Stellen, und über Werbeprotokolle wie OpenRTB werden enorme Mengen an Nutzerdaten ausgetauscht
- Um die Daten tatsächlich zu kaufen, sind jedoch Kosten in Höhe von mehreren Zehntausend bis Hunderttausenden Dollar nötig, wobei Daten europäischer Nutzer besonders teuer sind
- Dennoch wurde erneut bestätigt, dass ein Kauf grundsätzlich überall möglich ist
Ausgangspunkt
- Ein iPhone 11 für den Versuch wurde auf Werkseinstellungen zurückgesetzt und mit einer neuen Apple-ID eingerichtet
- Zur Analyse des Netzwerkverkehrs wurden Charles Proxy und ein SSL-Zertifikat installiert, um HTTPS-Anfragen zu entschlüsseln
- Als Beispiel-App wurde das einfache Spiel „Stack“ ausgewählt; direkt nach dem Start traten in sehr kurzen Abständen zahlreiche Werbe- und Analyseanfragen auf
Eine Flut von Anfragen
- Schon eine Minute nach dem Start der App zeigte sich eine enorme Zahl von Netzwerkanfragen
- Jede Anfrage enthielt unterschiedliche Daten wie Standortinformationen, IP-Adresse, Werbe-ID und Gerätedetails
- Bei genauer Prüfung zeigte sich, dass sensible Informationen an viele Stellen übertragen wurden, selbst ohne Zustimmung des Nutzers
Unity [ads]
- Ist das Unity Ads SDK in eine App eingebunden, übermittelt es verschiedene Informationen wie Standortdaten und IP-Adresse an Unity-Server
- Erfasst werden unter anderem der Identifikator „ifv“ (ID For Vendor), Standortdaten bei WLAN-Verbindung (Längen- und Breitengrad) sowie Zeitstempel
- Da Unity mit DSP-Anbietern wie Moloco Ads zusammenarbeitet, gelangen diese Informationen im Werbe-Bietprozess auch an Dritte
Warum taucht Facebook auf?
- Obwohl überhaupt keine Apps von Meta oder Facebook installiert waren, wurden im Rahmen der In-App-Werbekommunikation IP-Adresse und Zeitstempel an Facebook übertragen
- Wenn Facebook über andere Wege Konten ermitteln kann, die dieselbe IP verwenden, ist eine Verknüpfung mit der Nutzungshistorie der Meta-Dienste des Nutzers sehr wahrscheinlich
- Nutzer werden darüber nicht im Vorfeld angemessen informiert; ein tatsächlicher Einwilligungsprozess fehlt faktisch ebenfalls
Wozu wird die Bildschirmhelligkeit benötigt?
- Unity Ads fragt Gerätestatusinformationen wie Bildschirmhelligkeit, Akkustand, Speicherkapazität und den Verbindungsstatus eines Headsets ab
- Es gibt die Sorge, dass solche Informationen für personalisierte Werbung oder dynamische Preisangebote missbraucht werden können
- Ähnlich wie bei dem Gerücht, Uber passe Preise anhand des Akkustands an, ist das technisch grundsätzlich möglich
Ein Blick auf die IDs
ifv(ID for Vendor) ist ein Identifikator, der pro App-Entwickler vergeben wirdadvertisingTrackingId(IDFA) ist ein Identifikator, mit dem derselbe Nutzer appübergreifend verfolgt werden kann- Wird das Tracking abgelehnt, wird die IDFA zwar in einer Form wie „0000…“ ausgegeben, doch IP-Adresse und viele andere IDs werden weiterhin übertragen, sodass eine faktische Umgehungsverfolgung möglich bleibt
Der Unterschied zwischen Tracking erlauben und ablehnen
- Unabhängig davon, ob Werbe-Tracking „erlaubt“ oder „abgelehnt“ wird, werden Standort, IP und Browserinformationen weiterhin übertragen
- Es wird lediglich die IDFA nicht offengelegt; zugleich gibt es genügend andere Identifikationsmerkmale, um denselben Nutzer mit hoher Wahrscheinlichkeit wiederzuerkennen
- Plattformen wie Facebook sind in der Lage, Nutzer indirekt über die IP-Adresse zu identifizieren
Wie fließen die Daten?
- Die Daten werden in der Reihenfolge App → Unity [ads] → Molocoads → Werbetreibende (z. B. Bwin) weitergegeben
- SSPs (Supply-Side Platforms) wie Unity sammeln die Daten über ein SDK in der App ein, und DSPs (Demand-Side Platforms) wie Molocoads führen darauf basierend Werbeauktionen durch
- Im Prozess der Datenvermittlung können neben den Werbetreibenden auch zahlreiche Broker Standort- und Geräteinformationen erhalten
Datenbroker
- Auf Märkten wie Datarade oder Databricks werden standortbezogene Nutzerdaten auf Basis von MAIDs (Werbe-IDs) gehandelt
- Anbieter wie Redmob verkaufen teils Echtzeit-Standortdaten mit Aktualisierungen innerhalb von 5 Sekunden
- Unternehmen wie AGR Marketing Solutions verkaufen außerdem Daten, die MAIDs mit echter PII (personenbezogen identifizierbaren Informationen) verknüpfen und dadurch Namen, Adressen und Telefonnummern zuordnen
Sich selbst direkt verfolgen
- Durch das Installieren von Apps werden im Alltag fortlaufend Standortdaten gesammelt
- Werbefirmen oder Broker erfassen dabei Daten aus IP + Standort + Werbe-ID
- Anschließend kann ein MAID-<>-PII-Datensatz gekauft werden, um auf Basis der eigenen IDFA oder IP die echten Personeninformationen zu verknüpfen
- Dadurch kann ein Nutzer letztlich seine eigenen Standortdaten kaufen, kombinieren und sich selbst verfolgen
Fazit
- Der Datenhandel im globalen Werbe-Ökosystem wirkt legal, wenn man die einzelnen Schritte isoliert betrachtet, ergibt insgesamt jedoch ein gravierendes Problem für die Privatsphäre
- Dieses Problem ist durch große Leaks wie den jüngsten Vorfall bei Gravy Analytics erneut in den Fokus gerückt
- Selbst wenn Werbe-Tracking abgelehnt wird, ist vollständiger Schutz nicht garantiert
- Für Nutzer bleibt es offensichtlich schwer zu erkennen, wohin ihre Daten bei der App-Nutzung fließen und wie sie dort verarbeitet werden
1 Kommentare
Hacker-News-Kommentare
Aufgrund von Datenschutzproblemen lassen sich Kontaktinformationen leicht verkaufen. Wenn man in Apps wie TikTok Kontakte teilt, können Name, Telefonnummer und E-Mail-Adresse offengelegt werden. Bei Problemen mit dem Kundendienst wurde die Methode genutzt, die Kontaktdaten von Führungskräften zu kaufen und sie direkt zu kontaktieren. Das kann jedoch Nebenwirkungen haben, etwa dass ein CashApp-Konto geschlossen wird
Artikel zum Thema Datenschutz fehlen oft technische Details oder sie sind übertrieben. Es gibt zwar Mozillas Untersuchung zu Datenschutzrichtlinien in Autos, aber an den tatsächlichen technischen Details fehlt es. Zum Beispiel stellen sich Fragen wie: Zeichnet das Auto Gespräche auf, wo werden die Daten gespeichert und werden sie an Dritte übertragen? Ohne solche Details können Artikel nur Misstrauen schüren
Ich bezahle meine Miete über eine Firma namens Bilt und bekomme jedes Mal eine E-Mail mit dem Kassenbon meiner Einkäufe bei Walgreens. Ich wünschte, sensible Artikel würden ausgeschlossen. Ich frage mich, wie die Daten von Walgreens an die Mietfirma übermittelt werden, aber vielleicht ist es besser, Bargeld oder einen beglaubigten Scheck zu verwenden
Es ist interessant, dass Leute aus der IT-Branche gleichzeitig die Werbe-, Datensales- und Tracking-Industrie aufgebaut haben und sich darüber am lautesten beschweren
Informationen wie Bildschirmhelligkeit, Speichermenge, aktuelle Lautstärke oder ob Kopfhörer getragen werden, können verwendet werden, um Nutzer zu de-anonymisieren
Die Behauptung, LTE würde genauere Standortdaten liefern, ist falsch. Apps können ohne Standortberechtigung keine
cellid-Informationen erhalten. Kostenlose Apps behaupten zwar, genaue Standorte zu erfassen, tatsächlich sind diese Daten aber nicht präziseEs gibt die Sorge, dass Ad Exchanges einen Weg finden könnten, App-übergreifendes Tracking auch ohne IDFA zu betreiben. Theoretisch ist das verboten, aber es ist schwer durchzusetzen
Die Reddit-App hat auf meinem Handy keine Berechtigung, empfiehlt aber trotzdem Communities auf Basis meines Standorts. Auf Reisen wurden mir in jeder besuchten Stadt passende Empfehlungen angezeigt
Es wird empfohlen, die Nutzung mobiler Apps zu vermeiden, wenn stattdessen eine Website verwendet werden kann