Wie sicher ist die STOYL-App aus Hannover?
Die hannoversche STOYL-App setzt sich für den Erhalt lokaler Anbieter:innen ein und setzt sich zum Ziel, ihre Existenzen zu schützen. Doch wie sieht es mit dem Schutz und der Sicherheit der Nutzer:innendaten aus? mediaTest digital hat den Test gemacht und der neuen App einer umfassenden Datenschutz-Prüfung unterzogen.
STOLY APP
Version: iOS & Android 1.0.2
CVSS SCORE
0.0 (low)
ANALYSE-ERGEBNIS
- Einsatz externer Tracker und Analysetools
- Keine Übertragung persönlicher Informationen an Dritte
- Datenübertragung ist verschlüsselt
- Zugriffe: Kamera & Standort
Über die STOYL-App
Die NwBiz GmbH aus Hannover entwickelte STOYL im März 2020, um lokale Unternehmen in Zeiten der Corona-Krise finanziell zu entlasten. Auf der damaligen STOYL-Plattform konnten Nutzer:innen Gutscheine und Produkte von hannoverschen Unternehmen erwerben und zu einem beliebigen Zeitpunkt einlösen. Die Umsätze gingen an die jeweiligen Partner. Nach den ersten staatlichen Lockerungen konnten sich viele Anbieter:innen wieder erholen und aus der „save the ones you love“-Plattform wurde die „support the ones you love“-App. Diese setzt sich für den Erhalt lokaler Anbieter:innen in Hannover ein. Neben Informationsmaterial über regionale Unternehmen bietet die App die Funktion einer virtuellen STOYL-Card an, die sich Nutzer:innen für ein bis sechs Monate kaufen können (ab 4,95€ mtl.). Mit dieser Karte können User:innen exklusive Angebote (z.B. Rabattiererungen) bei den Partnern wahrnehmen.
Ergebnisse der Datenschutz-Prüfung
Die STOYL-App ist für iOS und Android in der Version 1.0.2 verfügbar. Die Sicherheitsexperten von mediaTest digital konnten feststellen, dass die App externe Tracker und Analysetools wie Firebase Analytics zur Auswertung des Nutzungsverhaltens einsetzt. An diese Werbenetzwerke fließen Geräte-Metadaten, jedoch keine persönlichen Informationen. Nutzer:innendaten (z.B. Login-Informationen) sendet die Anwendung verschlüsselt an den App-Hersteller. Den Datenschützern ist außerdem aufgefallen, dass in der iOS-Version die „App Transport Security“ (ATS) deaktiviert ist. Es handelt sich hierbei um ein iOS-Feature, das einen sicheren Datentransport via HTTPS-Verbindungen voraussetzt. Da diese Funktion ausgeschaltet ist, muss das Backend der STOYL-App sicherstellen, dass alle Verbindungen kodiert sind. Erfreulicherweise wurden während des Testlaufs keine unverschlüsselten Verbindungen aufgebaut. Weiterhin fordert die App sowohl auf Android- als auch auf iOS-Geräten den Zugriff auf die Kamera und den Standort der User:innen ein. Da diese Berechtigungen jedoch für den vollen Funktionsumfang der App notwendig sind, werden diese nicht als überprivilegiert eingestuft. Eine Man-in-the-Middle-Attacke war in den Testläufen zwar erfolgreich, es wurden jedoch ausreichend Gegenmaßnahmen festgestellt.
Fazit: Ein Positivbeispiel in Sachen Datenschutz!
Die STOYL-App stellt nicht nur eine gute Möglichkeit dar, lokale Anbieter:innen zu unterstützen. Sie kann auch aus datenschutzrechtlichen Gründen bedenkenlos genutzt werden. Die Anwendung übermittelt persönliche Nutzer:innendaten verschlüsselt und ausschließlich an den App-Hersteller. Bei der deaktivierten ATS-Funktion handelt es sich zwar um einen kleineren Mangel, hierbei werden jedoch keine Nutzer:innen-Informationen in Gefahr gebracht. mediaTest digital empfiehlt die Nutzung der App deshalb weiter und freut sich über ein Positivbeispiel in Sachen App-Security aus der Stadt Hannover!
Testergebnisse
Die detaillierten Testergebnisse finden Sie hier: