Android: Apps petzen Nutzerinteressen an Facebook

Schon wieder Android: Eine Reihe von Android-App verwendet eine Bibliothek, die Nutzerinteressen direkt an Facebook weiter gibt. Hier einige Informationen zu diesem Thema.


Anzeige

Die Webseite mobilsicher.de berichtet hier über den Fall. Ca. 30 % der Android-Apps im Google Play Store nehmen beim Betrieb Verbindung zu den Servern von Facebook auf und übertragen Nutzerdaten über die Interessen des Anwenders an das Unternehmen.

Android-Apps petzen ohne Kenntnis des Nutzers

Besonders kritisch ist dies bei Apps, die in direktem Bezug zu Religion, Gesundheit, sexueller Orientierung und politischer Einstellung stehen. Nutzer wissen von dieser Verbindung zu Facebook nichts und es ist auch nichts zu erkennen. Wer also Tinder zur Partnersuche verwendet, kann sicher sein, dass Facebook über seine Vorlieben informiert ist. Wer unter Diabetes leidet, könnte beim Besuch von Facebook über entsprechende Therapieformen informiert werden.

Ein kostenloses Facebook-SDK als Ursache

Android-App-Entwickler verwenden häufig ein Software Development Kit (SDK) zum Erstellen ihrer Anwendungen. Mit Facebook Analytics bekommt der Entwickler einer App Auskunft darüber, was Nutzer in der App tun: an welcher Stelle im Menü sie womöglich abbrechen, welche Funktionen sie besonders mögen. Eine solche Funktion ist für Entwickler ganz nützlich – in der Microsoft-Welt würde man diese Übertragung als Telemetrie bezeichnen.

Der Analyse-Dienst von Facebook ist nicht nur sehr gut, sondern auch kostenlos. Entsprechend beliebt ist er. Allerdings heißt dies auch, dass die Daten direkt an Facebook gehen. Und der Entwickler hat keine Kontrolle, welche Daten an Facebook geschickt werden.

Das Testsystem der französischen Nichtregierungsorganisation Exodus Privacy fand das Modul für Facebook Analytics in rund 20 Prozent aller 42.675 getesteten Apps. Das Forschungsprojekt AppCensus mit Sitz in Kalifornien untersuchte 83.064 Apps und stellte in rund 30 Prozent davon eine Datenverbindung zu Facebook (Facebook Analytics und alle anderen Facebook-Dienste) fest.

Neben technischen Informationen wie z.B. das Gerätemodell erhält Facebook auch die Uhrzeit, die IP-Adresse und welche App genutzt wird. Weiterhin wird die Werbe-ID mit übertragen. Damit ist der Benutzer i.d.R. identifizierbar. Die Apps sind mit der Datenschutzgrundverordnung nicht vereinbar. Damit dürften europäische App-Entwickler ein dickes Problem bekommen. Zitat aus dem mobilsicher.de-Artikel:

Für den Nutzer gibt es keine Möglichkeit zu erkennen, ob eine App Daten an Facebook überträgt. Die Übertragung ist unabhängig davon, ob man sich mit dem eigenen Facebook-Konto in der App anmeldet, und sie findet selbst dann statt, wenn man gar kein Facebook-Konto hat.

Keine der genannten Apps geben darauf einen expliziten Hinweis per Dialogfenster. Nicht einmal die Hälfte erwähnt das Facebook-Modul in der Datenschutzerklärung.

„Werden Daten an Dritte übermittelt – hier zum Beispiel durch die Übertragung der Werbe-ID an Facebook – ist dies in der Regel nur mit Zustimmung des Betroffenen möglich. Hierfür bedarf es einer informierten Einwilligung, die gegebenenfalls durch eine nicht gesetzte Checkbox ausgestaltet sein kann, wobei die Übermittlung der Daten erst dann erfolgt, nachdem der Nutzer sie gesetzt hat“, erklärt Hamburgs Datenschutzbeauftragter – ist in Deutschland für die Kontrolle von Facebook zuständig. Weitere Details sind im mobilsicher.de-Artikel nachlesbar. (via)


Anzeige

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Kommentare zu Android: Apps petzen Nutzerinteressen an Facebook

  1. Herr IngoW sagt:

    Wenn etwas “kostenlos” ist, heist es ja nicht das es “umsonst” ist oder.
    Ist schließlich bei allen kostenlosen Angeboten so, in diesem Fall bezahlt der Entwickler Garnichts (er bekommt eventuell noch was von “Facebook” dafür das er das SDK einsetzt?) und die Nutzer zahlen mit ihren Daten, war doch schon lange Zeit so oder?
    Die Datenschutzverordnung interessiert doch die Amis nicht wirklich, solange nichts passiert von Europa aus.
    Und Android/Google? Die haben ja die Apps in ihrem Store, hätten die nicht auch Verantwortung in Sachen Datenschutz? Das scheint ja dort auch ein Fremdwort zu sein.

  2. Phil sagt:

    @IngoW bei der schieren Anzahl an Apps, die im Store existieren, ist es schwer alle Apps von Kopf bis Fuß zu kontrollieren. Natürlich kannst du, wenn du genau weißt, wonach du suchst, auch automatische Kontrollen anwenden. Generell gestaltet sich das allerdings als eher schwierig. Schließlich könnte das Facebook-SDK auch völlig gesetzeskonform zum Einsatz kommen, bspw. wenn man dem Nutzer ein Opt-In anbietet und ihn korrekt über die Datensammelei aufklärt.

    Natürlich hast du Recht, wenn du bei Android/ Google ansetzen möchtest. Das wäre wohl der vernünftigste Weg. Die müssten (meiner Meinung nach) immerhin dafür sorgen, dass die Apps, die sie in einem Land anbieten auch dessen gesetzlichen Rahmen genügen. Wobei grundsätzlich auch ein App-Entwickler seine Apps eigentlich prinzipiell nur dort publizieren sollte, wo er sich sicher sein kann, dass die Apps den Gesetzen entsprechen.

    Ausländische Unternehmen in Haftung zu nehmen ist allerdings etwas schwieriger. Du könntest soweit ich weiß zwar im Extremfall einen ausländischen Entwickler sogar rechtskräftig verurteilen, allerdings kannst du ihn deshalb nicht noch lange nicht belangen. Zum Beispiel könnte DE kann ja schlecht seine Polizei in die USA schicken, um einen dortigen Entwickler festnehmen und in ein deutsches Gefängnis überführen zu lassen.
    Er müsste zumindest das Hoheitsgebiet des Staates betreten, in dem er verurteilt wurde oder zumindest eines Staates, der Auslieferungsabkommen mit dem Staat hat. Du könntest in einigen Fällen vielleicht noch bestimmte Finanztransaktionen unterbinden und so den Entwickler für sein illegales Vorgehen bestrafen. Ob diese Möglichkeit generell offen steht oder nur in bestimmten Fällen, weiß ich allerdings nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.