{"id":25700,"date":"2020-11-12T11:59:24","date_gmt":"2020-11-12T09:59:24","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=25700"},"modified":"2020-11-12T16:28:42","modified_gmt":"2020-11-12T14:28:42","slug":"location-tracking-sdks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/location-tracking-sdks\/25700\/","title":{"rendered":"Auf Schritt und Tritt: diese Apps verfolgen Ihren Standort"},"content":{"rendered":"

Einige der beliebtesten Handy-Apps verfolgen nicht nur Ihren Standort, sondern geben diesen auch noch an Drittanbieterdienste weiter, die mit wertvollen Daten wie diesen dann viel Geld machen. Mit Sicherheit verwenden auch Sie mindestens eine solcher Apps, ohne es zu wissen. Wie Sie herausfinden, welche Apps Ihnen in Zukunft Probleme bereiten k\u00f6nnten und was Sie dagegen tun k\u00f6nnen, erfahren Sie in diesem Beitrag.<\/p>\n

Auf Schritt und Tritt: diese Apps verfolgen Ihren Standort<\/h2>\n

Als Costin Raiu, Direktor des GReAT-Teams von Kaspersky, w\u00e4hrend der COVID-19-Pandemie auf eine interaktive Karte<\/a> mit den genauen Bewegungsdaten von Studenten stie\u00df, deren Mobilger\u00e4te urspr\u00fcnglich an nur einem einzigen Strand in Florida zusammengetragen und dann \u00fcber das gesamte Land hinweg verfolgt wurden, galt sein erster Gedanke nicht der Verbreitung des Coronavirus, sondern mobilen Apps, die Nutzerstandorte tracken. F\u00fcr die Umsetzung dieser Veranschaulichung wurden Informationen verwendet, zu denen unter anderem auch X-Mode-Standortdaten geh\u00f6rten. Aber wie kommt X-Mode \u00fcberhaupt an diese Daten?<\/p>\n

X-Mode vertreibt SDKs (eine Komponente, die Entwickler in ihre Apps einbetten k\u00f6nnen) und belohnt die Entwickler f\u00fcr die Integration dieser SDKs, basierend auf der Anzahl der regul\u00e4ren App-Benutzer, mit einer monatlichen Verg\u00fctung. Im Gegenzug sammelt das SDK Standortdaten sowie einige Daten verschiedener Smartphone-Sensoren, unter anderem dem Gyroskop, und sendet diese an unterschiedliche X-Mode-Server. Im Anschluss verkauft X-Mode die angeblich anonymisierten Daten an jeden, der an ihnen interessiert ist.<\/p>\n

X-Mode behauptet, dass das SDK keinen gro\u00dfen Einfluss auf die Akkulaufzeit des Nutzer-Smartphones hat und nur rund 1 bis 3 Prozent der Akkuladung in Anspruch nimmt, sodass Benutzer das SDK im Bestfall nicht einmal bemerken und sich somit auch nicht dadurch bel\u00e4stigt f\u00fchlen. Laut X-Mode ist das Sammeln von Daten auf diese Weise \u201evollkommen legal\u201c und das SDK \u2013 angeblich \u2013 DSGVO-konform.<\/p>\n\n

Wie viele dieser Tracking-Apps gibt es?<\/h2>\n

Im Folgeschluss machte sich Raiu dar\u00fcber Gedanken, ob auch er<\/em> \u00fcber die zuvor beschriebene Methode geortet und virtuell verfolgt worden war. Der wohl einfachste Weg, dies herauszufinden, bestand darin, die Adressen der Command-and-Control-Server<\/a> zu identifizieren, die von den Tracking-SDKs verwendet wurden, sowie den von seinem Ger\u00e4t ausgehenden Netzwerktraffic genau zu \u00fcberwachen. Wenn eine App auf seinem Smartphone mit mindestens einem solchen Server kommunizierte, w\u00fcrde dies bedeuten, dass ihm tats\u00e4chlich eine Ortungs-App auf den Schlichen war. Um seine Analyse zufriedenstellend zu beenden, musste er nur noch die Adressen der jeweiligen Server ausfindig machen. Die Ergebnisse der Untersuchung wurden \u00fcbrigens zur Grundlage seines diesj\u00e4hrigen Vortrags auf unserer SAS@home-Konferenz<\/a>.<\/p>\n

Nach einigem Reverse Engineering, angestellten Vermutungen, Entschl\u00fcsselungen und einer ausgiebigen Recherche wurde Raiu f\u00fcndig \u2013 und schrieb daraufhin einen Teil-Code, mit dem er erkennen konnte, ob eine App versuchte, auf die jeweiligen Server zuzugreifen. Grunds\u00e4tzlich stellte er fest, dass Apps mit einer bestimmten Codezeile das Tracking-SDK verwendeten.<\/p>\n

Insgesamt hat Raiu mehr als 240 verschiedene Apps, die bislang \u00fcber 500 Millionen Mal installiert wurden, mit dem eingebetteten SDK gefunden. Wenn wir davon ausgehen, dass der durchschnittliche Benutzer nur eine solcher Apps installiert hat, bedeutet dies, dass weltweit etwa 1 von 16 Personen eine solche Tracking-App auf ihrem Ger\u00e4t installiert hat. Die Wahrscheinlichkeit, dass Sie einer dieser Nutzer sind, liegt also bei 1\/16.<\/p>\n

Hinzu kommt, dass X-Mode nur eines von Dutzenden Unternehmen in dieser Branche ist.<\/p>\n

Dar\u00fcber hinaus kann jede App mehr als nur ein SDK enthalten. W\u00e4hrend Raiu beispielsweise einer App mit dem fraglichen X-Mode SDK auf der Spur war, entdeckte er f\u00fcnf weitere Komponenten anderer Unternehmen, die ebenfalls Standortdaten sammelten. Offensichtlich hat der Entwickler versucht, so viel Geld wie m\u00f6glich mit der App zu machen \u2013 obwohl es sich hierbei obendrein um eine zahlungspflichtige Anwendung handelte. Fazit: Nur, weil eine App zahlungspflichtig ist, bedeutet das nicht, dass ihre Entwickler nicht auf weiteren Profit aus sind.<\/p>\n

So k\u00f6nnen Sie Tracking verhindern<\/h2>\n

Das Problem dieser Tracking-SDKs besteht darin, dass Sie beim Download einer App nicht wissen k\u00f6nnen, ob sie eine solche Trackingkomponente enth\u00e4lt oder nicht. M\u00f6glicherweise hat die Anwendung sogar einen berechtigten Grund, nach Ihrem Standort zu fragen. Viele Apps sind auf den Standort der Nutzer angewiesen, um ordnungsgem\u00e4\u00df zu funktionieren. Aber selbst eine scheinbar, in diesem Aspekt, \u201elegitime\u201c App kann Ihre Standortdaten im Anschluss weiterverkaufen.<\/p>\n

Um technikaffinen Nutzern zu helfen, die Wahrscheinlichkeit eines solchen Trackings zu minimieren, hat Raiu eine Liste aller C&C-Server erstellt, die von Tracking-SDKs verwendet werden. Die Liste k\u00f6nnen Sie auf seiner pers\u00f6nlichen GitHub-Seite<\/a> einsehen. Zudem kann ein RaspberryPi-Computer mit installierter Pi-Hole- und WireGuard-Software dabei helfen, den Datenverkehr in Ihrem Heimnetzwerk zu \u00fcberwachen und die Apps, die versuchen, fragliche Server zu kontaktieren, an den Pranger zu stellen.<\/p>\n

Alle, die nicht ganz so technikversiert sind, k\u00f6nnen die Wahrscheinlich von Anwendungen und Diensten verfolgt zu werden, reduzieren, indem Sie die Berechtigungen von Apps einschr\u00e4nken.<\/p>\n