Getestete Apps zeigen: Datenverlust größer als Geldgewinn
Im Rahmen eines Fernsehbeitrags, der aktuell in verschiedenen Verbrauchermagazinen der ARD und des RBB ausgestrahlt wird, untersuchte die Redaktion sogenannte Empfehlungsportale (wie z.B. „empfohlen.de”) und die damit verbundenen Apps. Die Portale versprechen Anwendern durch das Erreichen bestimmter Ziele in Videospielen oder durch die Teilnahme an Umfragen und ähnliche Tätigkeiten Geld zu verdienen. Mit unserer App Risk Management Plattform APPVISORY untersuchten wir für diesen Beitrag den Datenverkehr und weitere datenschutzrelevante Aspekte der Apps und beantworteten anschließend als Experte im Interview Fragen der Redaktion.
Zusammenfassend haben wir, wenig überraschend, festgestellt, dass die getesteten Anwendungen fortlaufend und in hoher Frequenz Nutzerdaten erfassen und überdurchschnittlich viele Datenverbindungen (z.B. zu Tracking- und Werbenetzwerken) aufbauen. Zudem besteht das Problem, dass die Apps Werbung von Dritten beziehen und weitere Metadaten untereinander teilen, um das Belohnungs-Ökosystem realisieren zu können.
Besonders auffällig ist die App des Empfehlungsportals „empfohlen.de”. Sie weist zwar ihre Nutzer deutlich darauf hin, dass ihre Daten verwendet werden, sendet im Hintergrund aber bis zu zehn Tracking-Anfragen pro Sekunde und übermittelt dabei regelmäßig Geräteinformationen, Browsermerkmale sowie eindeutige Kennungen. Zum Vergleich: Typische Mobile-Apps kommen meist auf ein bis zwei Anfragen alle fünf Minuten. Die entstehende Menge an Metadaten ist außergewöhnlich hoch und aus Datenschutzsicht kritisch, weil sich damit Nutzerverhalten sehr präzise nachvollziehen und einzelnen Geräten eindeutig zuordnen lässt. Auf diese Weise entstehen Schattenprofile der Nutzer, die es aus Datenschutzsicht unbedingt zu verhindern gilt.
empfohlen.de (iOS 2.1.2 / Android 1.9.997)
Die App-Version der Ausgangsplattform „empfohlen.de” überträgt zudem Cookies ohne das sogenannte „Secure-Flag“. Damit können sie theoretisch in ungesicherten WLANs abgefangen werden. Zusätzlich nutzt die App kein HSTS (HTTP Strict Transport Security). Dadurch besteht das Risiko, dass verschlüsselte Verbindungen unter Umständen auf unverschlüsseltes HTTP zurückfallen können. Parallel kommuniziert die App mit zahlreichen externen Tracking- und Werbediensten und sendet durch die sehr hohe Frequenz der Hintergrundanfragen eine große Menge an Metadaten. Es wurden zwar keine sensiblen Daten übertragen. In Kombination mit der extrem hohen Anfragefrequenz entsteht dennoch ein sehr detailliertes Profil über Gerät und Nutzungsverhalten – aus Datenschutzsicht besonders problematisch. Ein weiteres Problem ist, dass viele andere Apps und Webseiten mit dieser App interagieren und so jegliche Art von Werbung oder Inhalte teilen. Es wird damit zunehmend schwerer zu kontrollieren, ob der ausgespielte Inhalt dann z.B. altersgerecht und gesetzeskonform ist.
Im Rahmen der weiteren Analyse wurden für den Fernsehbeitrag insgesamt sechs Apps aus dem Umfeld von Belohnungs- und Spielmechaniken geprüft, jeweils in der aktuellsten Version für iOS und Android. Hier zusammengefasst die auffälligsten datenschutzrelevanten Beobachtungen:
Match Masters (iOS v5.235 / Android 5.235)
Die App verbindet sich während der Nutzung regelmäßig mit Werbe- und Trackingdiensten. Dabei werden Nutzungs- und Geräteinformationen an externe Netzwerke übertragen. Eine durchgehend erzwungene Verschlüsselung ist nicht erkennbar. Insgesamt fällt Match Masters vor allem durch die Vielzahl externer Kommunikationspartner auf, wodurch unnötig viele Profil- und Metadaten entstehen.
Dice Dreams (iOS 1.99.2 / Android 1.99.2.31576)
Auch Dice Dreams baut kontinuierlich Verbindungen zu externen Werbe- und Analyseplattformen auf und überträgt Geräte- und Nutzungsmetadaten. Eine konsequente Absicherung über erzwungene Verschlüsselung fehlt auch hier. Hier liegt die Anzahl der Hintergrundanfragen auch deutlich über dem Niveau typischer Mobile Games, wodurch Nutzungs- und Geräteinformationen umfangreich erfasst werden.
Tetris® Block Party (iOS 1.1.0 / Android 1.1.0)
Tetris Block Party tauscht ebenfalls viele Daten mit Werbe- und Trackingdiensten aus. Dabei findet die Kommunikation nicht immer über strikt abgesicherte Verbindungen statt. Auffällig ist außerdem, dass Drittanbieter sehr weitreichend eingebunden sind: Externe Dienste können zahlreiche Inhalte nachladen und Daten austauschen. Dadurch steigt die Abhängigkeit von Partnern – und damit auch das Risiko, dass Schwachstellen bei diesen Diensten indirekt die App betreffen. Insgesamt ist der Datenverkehr überdurchschnittlich hoch, was eine sehr genaue Nachvollziehbarkeit des Nutzerverhaltens ermöglicht.
Toon Blast (iOS 20343 / Android 20253)
Toon Blast nutzt mehrere Werbe- und Analyseplattformen, die fortlaufend Gerätekennungen und Verhaltensdaten abrufen. Durch die Vielzahl dieser Partner können Informationen an verschiedenen Stellen zusammengeführt werden. So entsteht ein detailliertes Nutzungsprofil.
TimelineUP (iOS 1.12.0 / Android 12.0.0)
TimelineUp kommuniziert dauerhaft mit Werbe- und Analysediensten und übermittelt regelmäßig Geräte- und Nutzungsdaten. Die Anzahl und Frequenz der Hintergrundanfragen ist höher als für die Funktionalität notwendig wäre. Dadurch wird das Nutzerverhalten sehr detailliert abbildbar.
Crowd Express (iOS 2.9.2 / Android 2.9.2)
Auch Crowd Express übermittelt während der Nutzung regelmäßig Gerätekennungen und Interaktionsdaten an mehrere Partnerdienste. In Summe ermöglicht das eine sehr detaillierte Abbildung des Nutzerverhaltens, die weit über das hinausgeht, was für die reine Spielfunktion nötig wäre.
Fazit
Das Belohnungsmodell von Portalen wie empfohlen.de oder Freecash basiert darauf, Aktivitäten und Fortschritte präzise zu verfolgen – entsprechend hoch sind Menge, Frequenz und Streuung der übertragenen Metadaten an Tracking- und Werbenetzwerke. Die untersuchten Apps im Empfehlungs-Ökosystem funktionieren technisch zuverlässig, sind aber deutlich datenintensiver als typische Mobile Games. Hinzu kommen vermeidbare Schwächen in der Absicherung, etwa fehlendes HSTS oder unzureichend geschützte Cookies. Da Nutzer aus der Hauptapp jederzeit neue Apps laden können, wissen sie in der Regel nicht, wie sicher diese sind, zudem das Angebot an Apps laufend aktualisiert wird.
Die Nutzung solcher Apps und der dazugehörigen Empfehlungsportale ist daher nicht zu empfehlen. Wer sie privat verwendet, sollte sich bewusst sein, dass die ohnehin geringe finanzielle Belohnung nur durch weitreichende Datenerhebungen möglich ist – und meist in keinem Verhältnis zum Verlust an Privatsphäre und Datenhoheit steht.