Geheimnisse zwischen dir, mir… und Facebook

Privacy International spricht über Zyklus-Apps und die Gefahren, die durch das Teilen von Geheimnissen mit diesen Apps entstehen.

Egal, ob die Einnahme von Medikamenten, das Messen der Schlafqualität oder das Zählen von Schritten und Kalorien – viele Smartphone-Apps können als Erinnerungshilfe oder Überwachungshelfer dienen. An Apps zur Kontrolle der eigenen Gesundheit und des persönlichen Wohlbefindens mangelt es nicht. Dabei müssen die Benutzer jedoch häufig sehr persönliche Daten über Gefühle, Stimmungen, Diagnosen uvm. mit den Apps teilen. Leider behandeln nicht alle Apps diese privaten Informationen mit der erforderlichen Sorgfalt.

Auf dem 36C3 teilte die Menschenrechtsorganisation Privacy International die Ergebnisse der Analyse intimer Apps, mit denen Frauen ihren Zyklus im Auge behalten, die reproduktive Gesundheit überwachen und Schwangerschaften planen können. Wie sich herausstellte, missbrauchten einige dieser Anwendungen das Vertrauen der Nutzerinnen und tauschten vertrauliche Informationen in einigen Fällen sogar mit Facebook & Co. aus.

Was genau weiß Facebook?

Bei der Erstellung des Berichts nahmen die Forscher zwei Apps unter die Lupe: Maya und MIA (jeweils 5 Millionen bzw. 1 Million Google Play-Downloads). Die Studie war simpel: Privacy International untersuchte lediglich den ausgehenden Datenverkehr der Apps, die in einer Sandbox ausgeführt wurden, und analysierte anschließend die übertragenen Daten, einschließlich des Sendeziels. Die Ergebnisse waren, gelinde gesagt, sehr interessant.

Beim ersten App-Start kontaktierten beide Apps Facebook und andere Partner, noch bevor sie den Benutzerinnen die Datenschutzrichtlinien anzeigten. Dabei sendete Maya Daten an die CleverTap-Analyseplattform, MIA bevorzugte den Versand an die SaaS-Plattform AppsFlyer, die ebenfalls Analysedienste für Entwickler bereitstellt.

Darüber hinaus wollte MIA sofort wissen, ob die Benutzerin die App installiert hat, um eine Schwangerschaft zu planen oder nur um ihren Menstruationszyklus zu überwachen – und informierte ihre Partner umgehend über die Antworten. Das gleiche Schicksal teilten die intimen Details, einschließlich des Zeitpunkts und der Dauer des Menstruationszyklus der Nutzerin. Als nächstes versuchte das Programm, so viel wie möglich über die Benutzerin herauszufinden: Gefühle; Verhütung, Alkohol-, Koffein, und Zigarettenkonsum. Sogar Informationen über Dinge, die im Grunde genommen nichts mit der weiblichen Gesundheit zu tun haben, wie beispielsweise Frisuren und Maniküren, versuchte die App zu sammeln.

Basierend auf den gesammelten Informationen sowie eigenen Schlussfolgerungen zu der Zyklusphase, in der sich die Frau befand, bot die App aktuelle Artikel an. Dies scheint harmlos und sogar nützlich, wenn das Ganze nicht einen Haken hätte: Die Liste der Artikel, aus der eindeutig hervorgeht, welche Daten die Benutzerin mit der App geteilt hat, wurde ebenfalls mit Facebook und AppsFlyer geteilt.

Mayas Ansatz war etwas weniger kreativ. Die App gab einfach alles weiter, was sie in die Finger bekam – Informationen über das Wohlbefinden, die Stimmung, Verhütungsmittel, Körperpflegeprodukte, sexuelle Aktivitäten der Frau, usw. Das Programm fragte weder nach Lieblingsfrisuren noch nach Maniküren, sondern bot stattdessen eine persönliche Tagebuchfunktion an, deren Inhalte pflichtbewusst an Facebook und CleverTap weitergeleitet wurden.

Neben all diesen Informationen übermittel(te)n die Apps auch andere persönliche Daten wie E-Mail-Adresse oder eindeutige Gerätekennungen. Für Benutzerinnen mit einem Facebook-Konto reichen diese Informationen möglicherweise aus, um sie zu identifizieren, selbst wenn sie die Facebook-App nicht auf ihrem Telefon installiert haben. Mit anderen Worten: Facebook weiß genau, von wem die Daten stammen, die die Plattform erhält.

Wieso Unternehmen an persönlichen Daten interessiert sind

Mit Informationen über die Gesundheit, die Stimmung und das Privatleben eines Nutzers können Werbenetzwerke, einschließlich Facebook, die Waren und Dienstleistungen von Werbetreibenden profitabler verkaufen.
Beispielsweise kosten Anzeigen, die auf schwangere Frauen ausgerichtet sind, zehnmal so viel wie nicht zielgerichtete Anzeigen, da die Wahrscheinlichkeit, dass sie zu einem Kauf führen, weitaus höher ist. (Die Einkaufsbedürfnisse einer schwangeren Frau sind bis zu einem gewissen Grad vorhersehbar und ihre Auswahl beeinflussbar.)

Werbung ist aber nicht das Schlimmste. Vertrauliche Gesundheitsinformationen, die in die falschen Hände geraten, können beispielsweise die Kosten der Krankenversicherung beeinflussen. Ein potenzieller Arbeitgeber, der über die geplante Schwangerschaft eines Bewerbers/einer Bewerberin informiert ist, kann einen anderen Bewerber bevorzugen. Eine schwangere Frau darf möglicherweise nicht einmal einen internationalen Flug wahrnehmen. Und Sie möchten wohl kaum, dass Facebook über Details erfährt, die Sie nicht einmal mit Ihrem engsten Freund teilen würden.

Die Entwickler von Maya behaupten, dass alle von der App angeforderten Daten für den Betrieb erforderlich sind. Das stimmt teilweise: Hormonelle Medikamente, erhöhter Stress und Gewohnheiten wie Rauchen können den Menstruationszyklus beeinflussen und Stimmungsschwankungen, Bauchschmerzen und andere Symptome können darauf hinweisen, dass die Menstruation bevorsteht. Ein erheblicher Teil der angeforderten Informationen hat jedoch kaum oder gar keinen Einfluss auf die Genauigkeit der Diagnose.

Entwickler verzichten auf Facebook Analytics

Es gibt jedoch gute Nachrichten: Weder Maya noch MIA übermitteln Informationen mehr an Facebook. Die Forscher kontaktierten die Entwickler der Apps, die das Tool Facebook Analytics, das für den Versand der Daten verantwortlich war, schnell entfernten. Richtig, beide Apps verwenden noch immer CleverTap und AppsFlyer.

Fazit: Die Daten mussten nicht wirklich an Facebook übertragen werden; die Entwickler integrierten lediglich ein zusätzliches Analysesystem, ohne darüber nachzudenken, welche Daten wohin fließen würden.

Laut den Entwicklern von Maya haben Dritte keinen Zugriff auf die Informationen auf den Servern von CleverTap. Die Entwickler der Plattform erklären, dass die Lösung der Allgemeinen Datenschutzverordnung (DSGVO) entspricht und dass ihre analytischen Algorithmen anonymisierte Datenpools verarbeiten. Wenn dies tatsächlich der Fall ist, kann die Bedrohung der Privatsphäre durch diese App jetzt als minimal angesehen werden.

Die Situation der AppsFlyer nutzenden App MIA ist etwas nuancierter. Als Antwort auf die Umfrage der Forscher gab das Unternehmen bekannt, dass es Kunden untersagt, vertrauliche und personenbezogene Daten der Nutzer, einschließlich Gesundheitsinformationen, zu erheben. Laut AppFlyer hat man sich an die Entwickler der MIA-App gewandt, um die Herangehensweise der Analyse zu überprüfen. Wie die Forscher jedoch bemerken, ist es bei AppsFlyer nicht eindeutig, welche der Daten aus Apps, die speziell mit Gesundheitsinformationen arbeiten, erfasst werden sollen.

Dem Missbrauch personenbezogener Daten vorbeugen

Denken Sie bei der Übermittlung von Daten, insbesondere vertraulicher Daten, daran, dass die App Ihre Daten möglicherweise weitergibt. Wenn Sie nicht auf einen bestimmten Service verzichten können, beachten Sie die folgenden Empfehlungen:

  • Wählen Sie Apps mit Bedacht aus. Lesen Sie Rezensionen in Google Play und im App Store und überprüfen Sie, was Nutzer über die Entwickler online sagen.
  • Wenn eine App Ihre sensiblen Daten haben möchte, lesen Sie die Datenschutzbestimmungen. In den Bestimmungen kann die Datenweitergabe an Drittanbieter schwarz auf weiß stehen – ein schlechtes Zeichen. Aber selbst ohne eine solche Klausel könnten die Entwickler versuchen, etwas zu verbergen, wenn die Richtlinie vage oder unverständlich formuliert ist.
  • Wenn Sie eine Zyklus-App benötigen, wissen Sie zumindest, dass zwei von ihnen (Maya und MIA) die Zusammenarbeit mit Facebook bereits eingestellt haben. In dem Bericht von Privacy International werden auch andere Programme erwähnt, die sich solcher fahrlässigen Datenpraktiken bedienen.
  • Geben Sie Apps nicht mehr Informationen als nötig. Überlegen Sie genau, was sie wirklich brauchen und worauf sie verzichten können. Das bedeutet nicht, dass Sie wieder ins analoge Zeitalter zurückreisen müssen. Seien Sie sich einfach darüber im Klaren, dass Informationen, die Sie an Apps weitergeben, wahrscheinlich nicht ganz privat bleiben.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.