So sicher ist die Scooter Sharing App TIER für Android und iOS
Die Verbreitung der E-Scooter schreitet seit diesem Sommer auch in Deutschland unaufhaltsam voran. In diversen Großstädten wie Berlin, Hamburg, München, Köln oder Hannover haben die Roller von Sharing-Diensten wie TIER das Stadtbild erobert. Doch wie ist es um die sensiblen Daten der Nutzer bestellt, die ihre Rollerfahrten per TIER App in Verbindung mit ihrer Kreditkarte oder anderen Zahlungsmitteln durchführen? Hier gibt’s das Datenschutz-Testergebnis zur TIER App.
TIER und Datenschutz: Das Testergebnis
Aktuelle Tests der App Security Spezialisten von APPVISORY haben ergeben, dass eine Betriebssystemversion der TIER App höchst kritisches Verhalten an den Tag legt. Zwar sind die Bezahlfunktionen der App in der iOS-Version (3.1.9) als auch in der Android-Version (3.1.6) sicher implementiert, jedoch weist letztere erhebliche Datenschutzmängel auf.
Datenübertragung, Tracking & Co.
Android
So konnte bei der Nutzung die unverschlüsselte Übertragung von Standortdaten, sowohl des Fahrzeugs als auch des Smartphones, nachgewiesen werden. Mithilfe dieser Daten können unbekannte Dritte Bewegungsprofile (Standort-Tracking) der Nutzer erstellen. Zudem nutzt die App ein längst verbotenes Tracking-Item, die Android ID, dessen Nutzung seit einigen Jahren von Google offiziell untersagt ist. Der Grund: Sie ist vom Nutzer nur schwer änderbar und lässt so eine Identifikation der natürlichen Person zu. Auch in puncto Nutzerfreundlichkeit ist die Android-Version im Vergleich zur iOS-Version noch nicht ausgereift.
iOS
Deutlich besser sieht es bei der iOS-Variante der TIER-App aus. Hier konnten keine unerlaubten oder unsicheren Verbindungen gefunden werden. Sämtliche Daten wie Standortdaten, Kreditkartendaten, Telefonnummer, Name oder Passwort überträgt die App verschlüsselt an die eigenen Server. Genauso übermittelt sie diese verschlüsselt an die verbundenen Drittanbieter (wie z.B. Segment.io, Adjust oder Telesign). Die jeweiligen Empfänger der Daten finden sich transparent in der Datenschutzerklärung wieder.
Problematisches GPS-Modul: Sicher ist anders
Unseren Testern ist es gelungen, für die Rollersuche einen beliebigen Standort und Radius anzugeben. Über diesen Umweg lässt sich einfach herausfinden, wo welcher Roller samt Kennzeichen aktuell verfügbar ist. Wenn also beispielsweise ein Stalker wissen möchte, wo eine Person mit einem bestimmten Nummernschild hingefahren ist, reichen wenige Schritte aus. Er muss nur per Software an jedem beliebigen Gerät beobachten, an welchem Standort dieser Roller wieder als verfügbar auftaucht.
Hierbei handelt es sich explizit nicht um ein alleiniges Problem der TIER-Apps, sondern um ein systemisches Problem aller digital gesteuerten und mit GPS-Modul versehenen Sharing-Fahrzeuge mit Kennzeichen. An dieser wird jedoch Nachholbedarf seitens der Hersteller deutlich, um die besagten Daten nicht so einfach für Dritte zugänglich zu machen. Dass diese Dritten während der Fahrt einen Roller auch hupen lassen können, ist dabei nur ein augenscheinlich unangenehmer Nebeneffekt. Im Straßenverkehr kann er jedoch zu einer ernsthaften Gefährdung werden.
TIER App: Unsere Datenschutz-Beurteilung
Nutzer:innen sollten sich im Klaren darüber sein, dass ihre Zahlung samt Kreditkartendaten und Telefonnummer über den US-amerikanischen Bezahlservice „Stripe Inc.“ abgewickelt wird. Dieser wird in der Datenschutzerklärung korrekt ausgewiesen und findet sich sowohl in der iOS- als auch der Android-Variante der App wieder. Darüber hinaus sollte der Nutzer auch wissen, dass nicht nur der Roller selbst per GPS getracked wird, sondern zusätzlich auch das Smartphone des Nutzers. Das Tracking des Smartphones endet jedoch mit Abstellen des Rollers.
