US-DOJ verlangt von Apple und Google die Offenlegung der Identität von mehr als 100.000 Nutzern einer App für Fahrzeugumbauten

 (macdailynews.com)
1 Punkte von GN⁺ 3 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Das US-DOJ verlangt die Namen, Adressen, Telefonnummern und Kaufhistorien von Nutzern, die die Auto-Agent-App von EZ Lynk heruntergeladen haben, sowie von Käufern von EZ-Lynk-Hardware
  • Vorladungen wurden an Apple, Google, Amazon und Walmart zugestellt; betroffen sein könnten mehr als 100.000 Personen, Ziel ist die Identifizierung und Befragung von Zeugen
  • Das DOJ reichte 2021 Klage ein und wirft EZ Lynk vor, unter Verstoß gegen den Clean Air Act defeat devices zum Umgehen von Emissionskontrollen verkauft zu haben
  • EZ Lynk entgegnet, die Produkte dienten der Leistungsüberwachung, Updates sowie legalen Umbauten und Diagnosen; emissionsbezogene Nutzung liege in der Verantwortung der Nutzer
  • Anwälte sowie EFF und EPIC kritisieren die Forderung als überzogen und verweisen auf Fragen zum 4. Verfassungszusatz; auch Apple und Google bereiten demnach Einsprüche vor

Umfang der DOJ-Vorladungen

  • Das US-DOJ fordert in einem langjährigen Verfahren zu Fahrzeug-Emissionskontrollen personenbezogene Daten von Autofahrern an, die EZ Lynks Auto-Agent-App heruntergeladen haben
  • Die an Apple, Google, Amazon und Walmart gerichteten Vorladungen verlangen Namen, Adressen, Telefonnummern und Kaufhistorien, die mit der App und der zugehörigen Hardware verknüpft sind
  • Im März und April 2026 wurden von Apple und Google Download- und Kontodaten der Nutzer der Auto-Agent-App verlangt; von Amazon und Walmart wurden Informationen zu Käufern der physischen EZ-Lynk-Hardware angefordert
  • Insgesamt könnten mehr als 100.000 Personen betroffen sein; Gizmodo berichtet, dass der Umfang 100.000 Nutzer überschreiten könnte
  • Die Regierung erklärt, sie benötige diese Informationen zur Identifizierung und Befragung von Zeugen, die über die tatsächliche Nutzung der Werkzeuge aussagen können
  • Die Regierung hat bereits Forenbeiträge und Belege aus sozialen Medien eingereicht, die darauf hindeuten sollen, dass einige Nutzer mit dem System Emissionskontrollen deaktiviert haben

Hintergrund der Klage gegen EZ Lynk

  • Das DOJ erhob 2021 Klage gegen das auf den Cayman Islands ansässige Unternehmen EZ Lynk und behauptet, das Unternehmen habe unter Verstoß gegen den Clean Air Act „defeat devices“ vermarktet und verkauft
  • Den betreffenden Werkzeugen wird vorgeworfen, in Kombination aus der EZ Lynk Auto Agent App und einem OBD-Hardware-Dongle für die On-Board-Diagnose von Fahrzeugen die werkseitigen Emissionskontrollen von Dieselfahrzeugen umgehen zu können
  • EZ Lynk weist die Vorwürfe entschieden zurück und betont, seine Produkte hätten legitime Einsatzzwecke wie Fahrzeugleistungsüberwachung, das Einspielen von Software-Updates sowie legale Umbauten und Diagnosen
  • EZ Lynk argumentiert, emissionsbezogene Nutzung sei nicht der Hauptzweck der Produkte; eine solche Verwendung liege in der Verantwortung der Nutzer

Datenschutz und rechtlicher Widerstand

  • Die Anwälte von EZ Lynk halten die Forderungen in den Vorladungen für übermäßig weitreichend und weit über das für den Fall Erforderliche hinausgehend; zudem würden sie schwerwiegende Fragen zum 4. Verfassungszusatz aufwerfen
  • Die Anwälte schreiben: „Es ist nicht nötig, alle Personen zu identifizieren, die die Produkte genutzt haben, um diesen Vorwurf zu untersuchen.“
  • Berichten zufolge bereiten Apple und Google Einsprüche gegen die betreffenden Vorladungen vor
  • EFF und EPIC kritisieren die weitreichenden Forderungen nach personenbezogenen Identitätsdaten
  • Die beiden Organisationen weisen darauf hin, dass die meisten Nutzer die Nutzungsbedingungen nicht lesen und allein durch den Download eines als Werkzeug für Fahrzeugdiagnose und Tuning vermarkteten Produkts einer ungewollten rechtlichen Gefährdung ausgesetzt sein könnten

Mögliche Auswirkungen

  • EZ Lynk berief sich auf eine Section-230-Haftungsfreistellung, die üblicherweise genutzt wird, um die Plattformhaftung für Handlungen von Nutzern zu begrenzen; ein Richter wies dies jedoch 2025 zurück, sodass das Verfahren weiterläuft
  • Der Fall zeigt, dass die Regierung bei Durchsetzungsmaßnahmen ein stärkeres Interesse an App-Store-Daten entwickelt
  • Ähnliche, aber kleinere Anfragen gab es in der Vergangenheit bereits, etwa bei Nutzerdaten einer App für Waffenzielfernrohre
  • Die aktuelle Anforderung könnte mit potenziell zehnmal größerem Umfang als frühere Fälle besonders bedeutend sein
  • Apple, Google und andere Unternehmen haben sich öffentlich nicht geäußert, und auch das DOJ verweigert über die Gerichtsdokumente hinaus weitere Erklärungen
  • Das Ergebnis der Einsprüche gegen die Vorladungen könnte einen wichtigen Präzedenzfall für digitale Privatsphäre in Verfahren zur Regulierungsdurchsetzung schaffen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 3 시간 전
Hacker-News-Kommentare

  • Die Regierung sagt, sie brauche die Identifizierung und Befragung von Zeugen, die die tatsächliche Nutzung belegen können. Aber wenn sie solche Informationen und kooperationsbereite Personen nicht hat, fragt man sich, warum sie die Sache überhaupt angefangen hat.
    Das klingt schon so, als hätte man keinerlei Informationen; wenn das so ist, ist unklar, warum die Ermittlungen überhaupt laufen.
    Statt alle Nutzer des Tools zu ermitteln, sollte die Regierung nur diejenigen herausfiltern, die das Tool auf die von ihr beanstandete Weise genutzt haben, und Informationen zu genau diesen Personen anfordern.
    Alle Nutzer einer App mit legalen und realistischen Anwendungsfällen sowie sämtliche Dongle-Käufer zu verlangen, ist wirklich ein absurder Ansatz.

    • Wenn es nur eine Stelle gäbe, bei der man das melden könnte, würde ich in meiner Umgebung jeden Truck, der Rolling Coal macht, liebend gern melden.
      Ich habe sogar Trucks gesehen, die direkt neben Polizeiautos Rolling Coal gemacht haben, und natürlich ist nichts passiert.
      Das ist ein schwerwiegender Eingriff in die Privatsphäre, verpackt als „Umweltschutz“.
      Man muss keine 100%ige Unterwerfung unter die Strafverfolgung verlangen; schon einfaches Anklagen oder Verhängen von Bußgeldern bei klaren Verstößen dürfte ziemlich wirksam sein.
      So wie ein Auto auch nicht jedes Mal dem Prüfer eine E-Mail schicken musste, wenn man ohne Sicherheitsgurt gefahren ist, sondern es gereicht hat, dass die Polizei ein Ticket wegen fehlendem Gurt ausstellt.
    • Wahrscheinlich haben sie bereits viele Daten und Aussagen von Leuten, die das Produkt illegal nutzen.
      Im Netz gibt es Hunderte Threads, die erklären, wie man mit diesem Produkt Abgaskontrollsysteme umgeht.
      Der Kern des Falls, den die Staatsanwaltschaft aufbauen will, ist, dass EZ Lynk von diesem Verhalten wusste und es dennoch ermöglicht hat.
      Wenn man zeigen kann, dass ein großer Teil der App-Nutzer Straftaten begeht, ist das ein viel stärkerer Fall, als nur ein paar Zeugen zusammenzubekommen.
    • Warum dort aufhören? Warum nicht gleich auch die personenbezogenen Daten aller Menschen verlangen, die die App irgendwann einmal heruntergeladen haben könnten?
    • Meine Vermutung ist, dass man belegen will, dass der unzulässige Einsatz tatsächlich der primäre Anwendungsfall ist.
      Wenn man aus der Gesamtheit der Nutzer eine Zufallsstichprobe zieht und zeigen kann, dass die meisten sie zur Deaktivierung der Emissionskontrolle verwendet haben, könnte das die Verteidigungslinie des App-Herstellers schwächen.
      Das rechtfertigt eine derart überzogene Forderung aber trotzdem nicht.
      Wenn man nicht bereits Belege für den Fall hat, sollte man nicht zulassen, dass die Privatsphäre von Nutzern verletzt wird, nur weil vielleicht irgendein statistischer Beweis dabei herauskommen könnte.
      Das Rechtssystem könnte das allerdings anders sehen.
    • Wenn man sich Bodycam-Videos auf YouTube anschaut, sieht man ungefähr in der Hälfte der Fälle, wie Polizisten Informationen verlangen, die man rechtlich gar nicht herausgeben muss, nach dem Motto „wir müssen ermitteln“.
      Klügere Leute antworten dann in etwa: „Verstanden, aber ich bin nicht verpflichtet, bei Ihren Ermittlungen mitzuwirken.“
      Das hier wirkt wie eine deutlich invasivere und deutlich teurere Version davon.
      In etwa: „Es gibt potenziell dünne Belege dafür, dass diese App auf eine Weise genutzt wird, die wir schlecht finden, also müssen wir die Privatsphäre eines Unternehmens und Tausender Menschen verletzen, um Beweise zu sammeln, die wir eigentlich hätten haben müssen, bevor wir überhaupt Klage eingereicht haben. Wir sind schließlich der Staat, also dürfen wir das.“

  • Diese „Auto-Tuning-App“ wird faktisch wie ein GameShark zum Entfernen werkseitiger Abgaskontrollsysteme verwendet.
    Für Leute, die damit Dinge wie Rolling Coal machen, habe ich nicht viel Mitgefühl.
    Statt die vollständige Nutzerliste dieser App zu untersuchen: Sollte die Regierung dann Dieselmotoren verbieten, wenn klar ist, dass damit die Abgassoftware außer Kraft gesetzt wird? Sollten Umweltregeln gelockert werden? Ich weiß nicht, was hier die echte Lösung ist.

    • Oder man setzt einfach das geltende Recht durch und die Polizei macht ihren Job?
      Wir haben erlebt, wie die Durchsetzung von Verkehrsregeln wegen des Desinteresses der Behörden und Sorgen um die „Sicherheit von Polizeibeamten“ faktisch fast verschwunden ist.
      Statt die Rechte von Tausenden Amerikanern wie mir zu verletzen, wäre es besser, die Leute zu erwischen, die tatsächlich Rolling Coal betreiben.
    • Die Regierung will Aussagen, die sie gegen die App verwenden kann.
      Die angestrebte Lösung ist nicht, Nutzer zu verfolgen, sondern die App zu verbieten.
    • „Dieser ‘Webbrowser’ ist in Wahrheit praktisch—“
      Diesen Weg sollte man nicht gehen.
    • Sollte man einen Winkelschleifer auch verbieten, weil man damit Dinge stehlen kann?
    • Regelmäßige Fahrzeugprüfungen auf Abgas- und Sicherheitsstandards könnten die Lösung sein.
      In vielen Zuständigkeitsbereichen gibt es bereits Abgastests für Benzinmotoren, und einige Bundesstaaten führen Sicherheitsprüfungen durch.
      Wenn man es richtig macht, könnte man mit wenig Aufwand und niedrigen Kosten DEF-Deletes praktisch beenden.
      Wenn man es schlecht organisiert, wird es zur Geldmaschine für Prüfwerkstätten, lädt den Fahrzeughaltern wirtschaftlich ausgelagerte Schikanen auf und schränkt die Fähigkeit, am eigenen Auto selbst zu arbeiten, unnötig ein.

  • Anfangs wird man diese Informationen vielleicht nur für Vorladungen gegen Leute verwenden, die ihre Autos auf „schlechte“ Weise modifiziert haben. Aber sobald einmal ein Präzedenzfall geschaffen ist, werden Autohersteller das sehr schnell nutzen, um Menschen aufzuspüren, die etwa GPS-Tracking deaktiviert oder ähnliche Änderungen vorgenommen haben.

    • Danach geht es dann gegen Leute, die Konsolen, Kühlschränke oder Smartphones modifiziert haben.
      Die schiefe Ebene ist schon reichlich geschmiert.

  • Deshalb sollte man es anonym über F-Droid herunterladen.

    • Auf Geräten mit installierten Google-Diensten werden alle Apps mindestens einmal täglich überprüft.

      Real-time protections for non-Play installs
      Google Play Protect offers protection for apps that are installed from sources outside of Google Play. When a user tries to install an app, Play Protect conducts a real-time check of the app against known harmful or malicious samples that Google Play Protect has cataloged.
      https://developers.google.com/android/play-protect/client-pr...
      Bei neu signierten APKs gehen sie noch weiter: Sie holen sich eine Kopie, laden sie zu Google hoch, dekompilieren und prüfen sie, und die Installation erfolgt dann erst, wenn der Nutzer sie ausdrücklich erlaubt.

    • Google weiß mit 99%iger Wahrscheinlichkeit weiterhin, dass die App ausgeführt wurde, verknüpft mit anderen Identifikatoren.
      Wahrscheinlich wird das aber nicht zusammen mit einer Nutzerliste aus dem Play Store herausgegeben.
    • Genau. Noch ein weiteres Beispiel dafür, warum Sideloading besser ist.
    • Deshalb wird F-Droid auf neuen Android-Smartphones am Ende nicht mehr funktionieren.

  • Das ist eine klassische Warnung davor, was passiert, wenn die Verteilung von Apps zu stark zentralisiert wird.

  • Offenbar wurden bereits Forenbeiträge und Social-Media-Belege eingereicht, wonach einige Nutzer mit diesem System Abgaskontrollgeräte deaktiviert haben.
    Wird das Recht auf Reparatur wegen illegaler Nutzung genauso zerstört wie damals bei Medienpiraterie?
    Als MP3-Piraterie aufkam, wussten wir auch schon, dass wir am Ende dafür bezahlen würden; viele Leute haben davor gewarnt, was passieren würde, aber man hat es trotzdem getan, und am Ende kam es genau so, wie die Warner gesagt hatten.
    Illegales Verhalten liefert zugleich den Grund und den Vorwand, einem etwas wegzunehmen, das eigentlich ein Recht sein sollte.
    Und dann wird einem dieses Recht aus beiden Gründen tatsächlich weggenommen.
    Oft sind es schreckliche Menschen, die so handeln, entweder weil man sie praktisch dazu gezwungen hat oder weil man ihnen den Vorwand auf dem Silbertablett serviert hat.
    Menschen, die sich für technologische Freiheit einsetzen, müssen deutlich besser verstehen, dass sie sich in einem politischen Kontext bewegen, damit sie dauerhaft eine positive Kraft sein können und keinen Bumerangeffekt auslösen.

    • War die schreckliche Folge der MP3-Piraterie nicht, dass Musik heute billig und breit verfügbar ist, weil Medienunternehmen mit Napster konkurrieren mussten?

  • Das ist lächerlich. Es gibt viele andere Wege, gegen Abgasgesetze zu verstoßen.
    Wenn es ihnen wirklich ernst wäre, würden sie Bundesbeamte sowie Polizei auf Landes- und Kommunalebene mit Prüfgeräten ausstatten.
    Fahrzeuge, die mit hoher Wahrscheinlichkeit gegen die Regeln verstoßen, kann man oft schon durch Sehen und Hören leicht erkennen.
    Man könnte eine Meldehotline einrichten, und ich könnte den ganzen Tag Meldungen machen.
    Man müsste nur eine Begrenzung einbauen, wie oft pro Fahrzeug kontrolliert werden darf, damit es nicht missbraucht wird.
    Am Ende läuft es wieder auf das Problem hinaus, dass Unternehmen und Staat gemeinsame Sache machen, damit wir faktisch nichts mehr wirklich besitzen.
    Schon dass Werkzeuge zum Modifizieren von Autos als „Defeat Devices“ bezeichnet werden, ist viel zu unverblümt.
    Zusammen mit dem Trend, Sideloading auf Smartphones zu blockieren, ist das wirklich übel.
    Alles daran ist schrecklich, und soweit ich mich erinnern kann, ist es immer nur schlimmer geworden.
    Bald werde ich wohl meine Verbindung zum Internet und zu Computern insgesamt kappen.
    Das Gefühl von Macht und Freiheit, das man früher hatte, ist in als Bequemlichkeit getarnte Unterdrückung umgeschlagen.
    Ein einziger Token Ring, der über alle herrscht.

  • Können wir uns jetzt vielleicht darauf einigen, dass es eine schlechte Idee ist, wenn der App Store der einzige Weg wird, an Software zu kommen, und nicht deaktivierbare oder austauschbare Phone-Home-Komponenten angehängt werden?
    Wir normalisieren schleichend einen Zustand, in dem praktisch alles auf von Apple oder Google kontrollierten Geräten stattfindet.

  • Erstaunlich, dass die 2021 begonnene Klage zur Einhaltung von Emissionsstandards bis heute überlebt hat.
    Vielleicht hat man bei DOGE nach „emission“ falsch buchstabiert.

    • Oder die Leute, die damals das Sagen hatten, interessierten sich einfach nicht für Klagen gegen Verbrennerfahrzeuge.
    • Das dachte ich auch.
      Vermutlich wird diese Klage fallen gelassen, sobald sie es bemerken.
      Wenn der App-Hersteller an die Trump-Stiftung spendet, wird sie vielleicht noch am selben Tag zurückgezogen.

  • Was hier fehlt, ist das Problem der extraterritorialen Anwendung.
    Aufgrund des Cloud Act können US-Behörden Apple und Google zwingen, weltweite Nutzerdaten herauszugeben, darunter auch Einwohner der EU, die dachten, die DSGVO würde sie schützen.
    Tatsächlich tut sie das nicht.
    Apple und Google sind US-Unternehmen, und die Beschränkung in Artikel 48 DSGVO für ausländische Gerichtsanordnungen gilt für sie nicht.
    Unter diesen 100.000 Nutzern sind mit ziemlicher Sicherheit auch Europäer, die keinerlei Ahnung haben, dass ihre Download-Historie in den Händen des DOJ landen kann.