WM-Apps: Apps spionieren Fans aus
WM-Apps und Datenschutz: Das Wichtigste
- Besucher:innen der WM in Katar müssen sich zwingend zwei Apps herunterladen
- Die WM-Apps Ehteraz und Jayya haben umfassende Zugriffsrechte – Datenschutz ist nicht gewährleistet
- Wir raten von der Nutzung der WM-Apps dringend ab
Besucher:innen der Fußball-WM in Katar müssen für die Einreise in das Land die Installation zweier Apps nachweisen. Hierbei handelt es sich zum einen um die Covid-App Ehteraz sowie um die offizielle WM-App Hayya. Datenschützer:innen wie der IT-Security-Experte des norwegischen Senders NRK Øyvind Vasaasen schlagen Alarm: Beide WM-Apps werden als unsicher eingestuft, da der Umgang mit den Nutzer:innendaten und den Berechtigungen risikoreich ist. Die Ergebnisse unserer statischen App-Analyse bestätigen diesen Umstand.
Ehteraz und Hayya: Datenschutz-Beurteilung
Zur Beurteilung des Sicherheitsniveaus hat der Datenschutz-Experte Vasaasen sowohl der WM-App Ehteraz als auch der App Hayya einer Prüfung unterzogen. Wir haben die Apps mithilfe unserer App Risk Management-Lösung APPVISORY zusätzlich auf Sicherheitsrisiken im Quellcode geprüft. Die Ergebnisse der Datenschutz-Analyse im Überblick:
Ehteraz: Datenschutz
Ehteraz ist eine Covid-App, die sich alle Besucher:innen im Alter von über 18 Jahren bei der Einreise nach Katar downloaden müssen. Offiziell dient sie der Kontaktnachverfolgung zur Eindämmung der Corona-Pandemie – allerdings erhält die WM-App zahlreiche Zugriffsrechte auf das Smartphone der User:innen. Hierzu zählt das Lesen, Löschen und Ändern sämtlicher Inhalte auf dem Gerät, der Aufbau einer Bluetooth- und WiFi-Verbindung, das Überschreiben anderer Anwendungen sowie die Blockade des Schlafmodus auf dem Smartphone. Der App Scan (iOS v 8.0.1 & Android v 12.4.7) schlägt vor allem hinsichtlich der weitreichenden Zugriffsrechte auf die Standortdaten der User:innen Alarm. Dies kommunizierte auch Vasaasen – die App könne auf den Standort des Handys zugreifen, Anrufe tätigen und die Bildschirmsperre außer Kraft setzen.
Hayya to Quatar: Datenschutz
Bei Hayya to Qatar 2022 handelt es sich um die offizielle WM-App, mit der User:innen die Hayya Card verwalten können. Diese ist für die Einreise nach Katar, den Stadionbesuch sowie die Nutzung der öffentlichen Verkehrsmittel notwendig. Auch wenn die Zugriffsberechtigungen hier weniger weitreichend sind, ist die Hayya App kritisch zu bewerten. Die Vorwürfe: Sie verlangt den Zugriff auf den genauen Standort sowie die Freigabe der persönlichen Daten – nahezu ohne Einschränkungen. Zudem könne sie verhindern, dass das Smartphone in den Ruhezustand geht und Netzwerkverbindungen des Geräts abfragen. Der App Scan bestätigt die Ergebnisse und identifiziert darüber hinaus bei der Android-Version der Hayya App (v 8.1.1.3628) den Einsatz diverser Tracking-Tools wie Google Firebase Analytics und die Abfrage von Datenbanken wie SMS und Kontakte.
WM-Apps erlauben Kontrolle der Nutzer:innen
User:innen, die die Apps auf ihr Smartphone herunterladen, akzeptieren die Nutzungsbedingungen der beiden WM-Apps. Sie können den Zugriffsrechten nicht widersprechen, auch nicht teilweise, da diesen nur im vollen Umfang zugestimmt werden kann. Wer die Apps nutzt, bringt den App-Herstellern viel Vertrauen entgegen – was angesichts der umstrittenen Menschenrechtslage in dem Land nicht uneingeschränkt möglich ist. Die Gefahr ist groß, dass die Daten in den WM-Apps von den katarischen Sicherheitsbehörden für andere Zwecke missbraucht werden. Die WM-Apps sind somit nicht mit dem Datenschutz vereinbar. Wir schließen uns deshalb den Empfehlungen der IT-Security-Expert:innen an, zwingend ein Zweithandy zu nutzen, auf dem lediglich die beiden Anwendungen installiert sind. Die FIFA hat sich zu den geäußerten Sicherheitsbedenken bisher noch nicht geäußert.
