{"id":21967,"date":"2020-01-24T15:38:04","date_gmt":"2020-01-24T13:38:04","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=21967"},"modified":"2022-07-18T18:47:17","modified_gmt":"2022-07-18T16:47:17","slug":"36c3-period-apps","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/36c3-period-apps\/21967\/","title":{"rendered":"Geheimnisse zwischen dir, mir\u2026 und Facebook"},"content":{"rendered":"

Egal, ob die Einnahme von Medikamenten, das Messen der Schlafqualit\u00e4t oder das Z\u00e4hlen von Schritten und Kalorien \u2013 viele Smartphone-Apps k\u00f6nnen als Erinnerungshilfe oder \u00dcberwachungshelfer dienen. An Apps zur Kontrolle der eigenen Gesundheit und des pers\u00f6nlichen Wohlbefindens mangelt es nicht. Dabei m\u00fcssen die Benutzer jedoch h\u00e4ufig sehr pers\u00f6nliche Daten \u00fcber Gef\u00fchle, Stimmungen, Diagnosen uvm. mit den Apps teilen. Leider behandeln nicht alle Apps diese privaten Informationen mit der erforderlichen Sorgfalt.<\/p>\n

Auf dem 36C3<\/a> teilte die Menschenrechtsorganisation Privacy International die Ergebnisse der Analyse<\/a> intimer Apps, mit denen Frauen ihren Zyklus im Auge behalten, die reproduktive Gesundheit \u00fcberwachen und Schwangerschaften planen k\u00f6nnen. Wie sich herausstellte, missbrauchten einige dieser Anwendungen das Vertrauen der Nutzerinnen und tauschten vertrauliche Informationen in einigen F\u00e4llen sogar mit Facebook & Co. aus.<\/p>\n

Was genau wei\u00df Facebook?<\/h2>\n

Bei der Erstellung des Berichts nahmen die Forscher zwei Apps unter die Lupe: Maya und MIA (jeweils 5 Millionen bzw. 1 Million Google Play-Downloads). Die Studie war simpel: Privacy International untersuchte lediglich den ausgehenden Datenverkehr der Apps, die in einer Sandbox<\/a> ausgef\u00fchrt wurden, und analysierte anschlie\u00dfend die \u00fcbertragenen Daten, einschlie\u00dflich des Sendeziels. Die Ergebnisse waren, gelinde gesagt, sehr interessant.<\/p>\n

Beim ersten App-Start kontaktierten beide Apps Facebook und andere Partner, noch bevor sie den Benutzerinnen die Datenschutzrichtlinien anzeigten. Dabei sendete Maya Daten an die CleverTap<\/em>-Analyseplattform, MIA bevorzugte den Versand an die SaaS-Plattform AppsFlyer<\/em>, die ebenfalls Analysedienste f\u00fcr Entwickler bereitstellt.<\/p>\n

Dar\u00fcber hinaus wollte MIA sofort wissen, ob die Benutzerin die App installiert hat, um eine Schwangerschaft zu planen oder nur um ihren Menstruationszyklus zu \u00fcberwachen \u2013 und informierte ihre Partner umgehend \u00fcber die Antworten. Das gleiche Schicksal teilten die intimen Details, einschlie\u00dflich des Zeitpunkts und der Dauer des Menstruationszyklus der Nutzerin. Als n\u00e4chstes versuchte das Programm, so viel wie m\u00f6glich \u00fcber die Benutzerin herauszufinden: Gef\u00fchle; Verh\u00fctung, Alkohol-, Koffein, und Zigarettenkonsum. Sogar Informationen \u00fcber Dinge, die im Grunde genommen nichts mit der weiblichen Gesundheit zu tun haben, wie beispielsweise Frisuren und Manik\u00fcren, versuchte die App zu sammeln.<\/p>\n

Basierend auf den gesammelten Informationen sowie eigenen Schlussfolgerungen zu der Zyklusphase, in der sich die Frau befand, bot die App aktuelle Artikel an. Dies scheint harmlos und sogar n\u00fctzlich, wenn das Ganze nicht einen Haken h\u00e4tte: Die Liste der Artikel, aus der eindeutig hervorgeht, welche Daten die Benutzerin mit der App geteilt hat, wurde ebenfalls mit Facebook und AppsFlyer geteilt.<\/p>\n

Mayas Ansatz war etwas weniger kreativ. Die App gab einfach alles weiter, was sie in die Finger bekam \u2013 Informationen \u00fcber das Wohlbefinden, die Stimmung, Verh\u00fctungsmittel, K\u00f6rperpflegeprodukte, sexuelle Aktivit\u00e4ten der Frau, usw. Das Programm fragte weder nach Lieblingsfrisuren noch nach Manik\u00fcren, sondern bot stattdessen eine pers\u00f6nliche Tagebuchfunktion an, deren Inhalte pflichtbewusst an Facebook und CleverTap weitergeleitet wurden.<\/p>\n

Neben all diesen Informationen \u00fcbermittel(te)n die Apps auch andere pers\u00f6nliche Daten wie E-Mail-Adresse oder eindeutige Ger\u00e4tekennungen<\/a>. F\u00fcr Benutzerinnen mit einem Facebook-Konto reichen diese Informationen m\u00f6glicherweise aus, um sie zu identifizieren, selbst wenn sie die Facebook-App nicht auf ihrem Telefon installiert haben. Mit anderen Worten: Facebook wei\u00df genau, von wem die Daten stammen, die die Plattform erh\u00e4lt.<\/p>\n

Wieso Unternehmen an pers\u00f6nlichen Daten interessiert sind<\/h2>\n

Mit Informationen \u00fcber die Gesundheit, die Stimmung und das Privatleben eines Nutzers k\u00f6nnen Werbenetzwerke, einschlie\u00dflich Facebook, die Waren und Dienstleistungen von Werbetreibenden profitabler verkaufen.
\nBeispielsweise kosten Anzeigen, die auf schwangere Frauen ausgerichtet sind, zehnmal so viel wie nicht zielgerichtete Anzeigen, da die Wahrscheinlichkeit, dass sie zu einem Kauf f\u00fchren, weitaus h\u00f6her ist. (Die Einkaufsbed\u00fcrfnisse einer schwangeren Frau sind bis zu einem gewissen Grad vorhersehbar und ihre Auswahl beeinflussbar.)<\/p>\n

Werbung ist aber nicht das Schlimmste. Vertrauliche Gesundheitsinformationen, die in die falschen H\u00e4nde geraten, k\u00f6nnen beispielsweise die Kosten der Krankenversicherung beeinflussen. Ein potenzieller Arbeitgeber, der \u00fcber die geplante Schwangerschaft eines Bewerbers\/einer Bewerberin informiert ist, kann einen anderen Bewerber bevorzugen. Eine schwangere Frau darf m\u00f6glicherweise nicht einmal einen internationalen Flug<\/a> wahrnehmen. Und Sie m\u00f6chten wohl kaum, dass Facebook \u00fcber Details erf\u00e4hrt, die Sie nicht einmal mit Ihrem engsten Freund teilen w\u00fcrden.<\/p>\n

Die Entwickler von Maya behaupten, dass alle von der App angeforderten Daten f\u00fcr den Betrieb erforderlich <\/a>sind. Das stimmt teilweise: Hormonelle Medikamente, erh\u00f6hter Stress und Gewohnheiten wie Rauchen<\/a> k\u00f6nnen den Menstruationszyklus beeinflussen und Stimmungsschwankungen, Bauchschmerzen und andere Symptome k\u00f6nnen darauf hinweisen, dass die Menstruation bevorsteht. Ein erheblicher Teil der angeforderten Informationen hat jedoch kaum oder gar keinen Einfluss auf die Genauigkeit der Diagnose.<\/p>\n

Entwickler verzichten auf Facebook Analytics<\/h2>\n

Es gibt jedoch gute Nachrichten: Weder Maya noch MIA \u00fcbermitteln Informationen mehr an Facebook. Die Forscher kontaktierten die Entwickler der Apps, die das Tool Facebook Analytics, das f\u00fcr den Versand der Daten verantwortlich war, schnell entfernten. Richtig, beide Apps verwenden noch immer CleverTap und AppsFlyer.<\/p>\n

Fazit: Die Daten mussten<\/em> nicht wirklich an Facebook \u00fcbertragen werden; die Entwickler integrierten lediglich ein zus\u00e4tzliches Analysesystem, ohne dar\u00fcber nachzudenken, welche Daten wohin flie\u00dfen w\u00fcrden.<\/p>\n

Laut den Entwicklern von Maya haben Dritte keinen Zugriff auf die Informationen<\/a> auf den Servern von CleverTap. Die Entwickler der Plattform erkl\u00e4ren, dass die L\u00f6sung der Allgemeinen Datenschutzverordnung (DSGVO)<\/a> entspricht und dass ihre analytischen Algorithmen anonymisierte Datenpools verarbeiten. Wenn dies tats\u00e4chlich der Fall ist, kann die Bedrohung der Privatsph\u00e4re durch diese App jetzt als minimal angesehen werden.<\/p>\n

Die Situation der AppsFlyer nutzenden App MIA ist etwas nuancierter. Als Antwort auf die Umfrage der Forscher gab das Unternehmen bekannt, dass es Kunden untersagt, vertrauliche und personenbezogene Daten der Nutzer<\/a>, einschlie\u00dflich Gesundheitsinformationen, zu erheben. Laut AppFlyer hat man sich an die Entwickler der MIA-App gewandt, um die Herangehensweise der Analyse zu \u00fcberpr\u00fcfen. Wie die Forscher jedoch bemerken, ist es bei AppsFlyer nicht eindeutig, welche der Daten aus Apps, die speziell mit Gesundheitsinformationen arbeiten, erfasst werden sollen.<\/p>\n

Dem Missbrauch personenbezogener Daten vorbeugen<\/h2>\n

Denken Sie bei der \u00dcbermittlung von Daten, insbesondere vertraulicher Daten, daran, dass die App Ihre Daten m\u00f6glicherweise weitergibt. Wenn Sie nicht auf einen bestimmten Service verzichten k\u00f6nnen, beachten Sie die folgenden Empfehlungen:<\/p>\n