System-Apps – die auf Ihrem Smartphone installiert sind und meistens nicht deinstalliert werden können – werden inzwischen nicht mehr viel Beachtung geschenkt. Bei den anderen Apps und Services haben die Benutzer bezüglich Tracking und Überwachung zumindest eine gewisse Entscheidungsfreiheit, aber bei System-Apps sind diese Funktionen direkt im Handy eingebaut.
Diese Aussage basiert auf den Schlussfolgerungen einer gemeinsamen Studie von Forschern der University of Edinburgh im Vereinigten Königreich und dem Trinity College Dublin in Irland. Sie untersuchten Smartphones von bekannten Handyhersteller, um herauszufinden wie viele Daten übertragen werden. Als Orientierungspunkt verglichen sie die Ergebnisse mit Open-Source-Betriebssystemen, die auf Android, LineageOS und /e/OS basieren. Lesen Sie weiter und entdecken Sie was die Forscher herausgefunden haben.
Forschungsmethode
Die Forscher legten ein recht strenges Betriebsszenario für die vier Smartphones fest, um die idealen Bedingungen für das Experiment zu schaffen. Im echten Leben ist es eher unwahrscheinlich, dass ein Benutzer es je mit so einem Szenario tun hat: Die Forscher gingen davon aus, dass die Smartphones allein für Anrufe und SMS verwendet werden. Es wurden also keine zusätzlichen Apps heruntergeladen, damit die Handys ausschließlich über die vom Hersteller installierten Apps verfügen.
Darüber hinaus antwortete der erfundene Benutzer auf alle Anfragen „Möchten Sie den Service durch Datenweiterleitung verbessern“ mit „Nein“. Das sind die Art der Fragen, die Benutzer meistens beantworten müssen, wenn Sie das Smartphone zum ersten Mal einschalten. Für das Experiment wurden auch keine optionalen Services der Hersteller aktiviert, wie Cloud-Speicher oder die Funktion „Mein Gerät finden“. Anders ausgedrückt, versuchten die Forscher während der Studie so weit wie möglich den Privatsphärenschutz und die Einstellungen ab Werk beizubehalten.
Während der ganzen Studie wird die gleiche grundlegende „Spionage-Tracking-Technologie“ angewendet. Das Smartphone verbindet sich mit einem Raspberry Pi Mini-Computer, der als WLAN-Zugangspunkt dient. Die auf dem Raspberry Pi installierte Software fängt den Datenfluss des Smartphones ab und entschlüsselt die Daten. Danach werden die Daten erneut verschlüsselt und zum Empfänger geschickt – an den Entwickler des Smartphones, der App oder des Betriebssystems. Im Grunde genommen führen die Forscher einen (rechtschaffenen) Man-in the-Middle-Angriff (MITM) durch.
Positiv zu bewerten ist, dass alle übertragenen Daten verschlüsselt waren. Die Zeiten, zu der in der Handybranche die Daten von Geräten, Programmen und Servern vollkommen ohne Schutz in Klartext übermittelt wurden, scheinen endlich vorbei zu sein. Tatsächlich brauchten die Forscher ziemlich lange, bis sie die Daten entziffern und endlich analysieren konnten, welche Informationen genau übertragen wurden.
Nach der erfolgreichen Entschlüsselung lief alles wie am Schnürchen. Die Forscher löschten auf jedem Gerät alle Daten und führten die Ersteinrichtung durch. Dann – ohne sich in ein Google-Konto einzuloggen – ließen sie die Smartphones einige Tage eingeschaltet und überwachten, welche Daten in diesem Zeitraum übertragen wurden. Danach meldeten sie sich bei einem Google-Konto an, aktivierten kurz die Standortermittlung und gingen zu den Einstellungen der Handys. Bei jedem Schritt wurde genau überprüft, welche Daten vom Smartphone übermittelt wurden. Insgesamt wurden sechs Smartphones getestet: Vier davon mit der Firmware der Hersteller und zwei mit der Open-Source-Version von Android LineageOS und /e/OS .
Wer erfasst die Daten?
Es überraschte natürlich niemanden, dass die Smartphone-Hersteller die meisten Daten sammeln und somit als Datenerfasser an erster Stelle stehen. Alle vier Geräte mit der Original-Firmware (und einer Reihe an vorinstallierten Programmen) sendeten Telemetriedaten an die Hersteller, zusammen mit persistenten Identifikatoren, wie beispielsweise die Seriennummer des Handys. Hier unterscheiden die Forscher zwischen der Standard-Firmware und den benutzerdefinierten Builds.
Beispielsweise verfügt LineageOS über die Option, die Daten an die Entwickler zu senden (z. B., um die Betriebsstabilität der Programme zu überwachen). Doch der Benutzer kann diese Option deaktivieren und die Datenübertragung wird beendet. Bei den Smartphones nach Werksstandard war es teilweise möglich durch das Blockieren der Datenübertragung die Anzahl der gesendeten Daten zu reduzieren, aber es ist unmöglich die Übermittlung vollkommen zu unterbinden.
An zweiter Stelle stehen die Entwickler der vorinstallierten Apps. Auch hier wurde Interessantes entdeckt: Nach den Regeln von Google müssen alle Apps, die über Google Play installiert werden, eine bestimmte Kennung verwenden, um die Benutzeraktivitäten zu tracken und zwar die Werbe-ID von Google. Der Benutzer kann diese Kennung in den Einstellungen des Smartphones ändern, wenn er das möchte. Diese Anforderung scheint aber nicht für die vorinstallierten Apps zu gelten – diese verwenden nämlich persistente Identifikatoren, um eine Menge Daten zu erfassen.
Zum Beispiel sendet eine vorinstallierte App eines bestimmten sozialen Netzwerkes Daten des Handybesitzers an eigene Server, selbst wenn der Benutzer diese App nie geöffnet hat. Dieses weitere Beispiel ist noch interessanter: Die Tastatur des Systems bei einem der Smartphones sendete Daten dazu, welche Apps auf dem Handy ausgeführt werden. Einige Geräte waren mit Operator-Apps ausgestattet, die auch benutzerbezogene Daten erfassten.
Die System-Apps von Google sind besonders erwähnenswert. Bei den meisten Smartphones sind die Google Play Dienste und der Google Play Store sowie YouTube, Gmail, Maps und einige andere Apps bereits ab Werk installiert. Den Forschern ist aufgefallen, dass die Dienste und Apps von Google weit mehr Daten erfassten, als die vorinstallierten Programme. Die Grafik unten zeigt die Datenübertragung an Google (links) im Vergleich zur Übertragung an alle anderen Empfänger von Telemetriedaten (rechts) an:
Welche Daten werden übertragen?
Auch in diesem Bereich konzentrierten sich die Forscher auf die Kennungen. Alle Daten verfügen über einen einmaligen Code, der zur Identifizierung des Senders dient. Das kann ein Einwegcode sein. Für den Schutz von Privatsphäre wäre das der richtige Code, um Daten für Statistiken zu sammeln, die für die Entwickler nützlich sein können, z. B. Daten zur Betriebsstabilität des Systems.
Es gibt aber auch dauerhafte Codes und sogar persistente Identifikatoren, die die Datenschutzrechte der Benutzer verletzen. Bei der Datenübertragung der untersuchten Smartphones wurden auch solche Codes gefunden. Beispielsweise können Handybesitzer zwar die oben genannte Werbe-ID von Google manuell ändern, aber nur wenige tun das, also kann diese Kennung, die sowohl an Google als auch an die Gerätehersteller gesendet wird, quasi als persistent betrachtet werden.
Die Seriennummer, der IMEI-Code des Funkmoduls und die Nummer der SIM-Karte sind persistente Identifikatoren. Über die Seriennummer und den IMEI-Code ist es möglich den Benutzer zu identifizieren, selbst nachdem er die Telefonnummer gewechselt und das Gerät auf Werkeinstellung zurückgesetzt hat.
Die übliche Informationsübermittlung zum Modell des Gerätes, Bildschirmgröße und zur Version der Funkmodul-Firmware sind nicht so risikoreich in Bezug auf die Privatsphäre, da es sich um dieselben Daten bei einer großen Anzahl von Besitzern handelt, die das gleiche Smartphone-Modell verwenden. Aber die Benutzeraktivitäten bei bestimmten Apps können eine Menge über die Handybesitzer aussagen. Zu diesem Punkt sprachen die Forscher über den schmalen Grat zwischen den Daten, die für die Fehlerbehebung in Apps erforderlich sind und den Daten, die für die Erstellung detaillierter Benutzerprofile verwendet werden, die wiederum für gezielt eingesetzte Werbung nützlich sind.
Zum Beispiel, wenn eine App das Akkuleben stark verkürzt, ist es wichtig, dass der Entwickler darüber informiert ist und letztendlich profitiert auch der Benutzer davon. Informationen darüber, welche Versionen der Systemprogramme auf dem Smartphone installiert sind, ist auch nützlich, um zu wissen wann eine Aktualisierung heruntergeladen werden sollte. Allerdings bleibt noch die Frage offen, ob das Sammeln von Informationen darüber zu welchem Zeitpunkt ein Anruf getätigt und wann aufgelegt wurde wirklich notwendig ist oder überhaupt als ethisch vertretbar betrachtet werden kann.
Zu den häufig übertragenen Benutzerdaten zählen auch die Liste der installierten Apps. Diese Liste kann viel über den Benutzer aussagen – anhand dieser Informationen können sogar Rückschlüsse über die Einstellungen des Benutzers bezüglich Religion und Politik gezogen werden.
Kombination von Benutzerdaten aus verschiedenen Quellen
Trotz der gründlichen Arbeit waren die Forscher nicht in der Lage vollkommen herauszufinden, wie einige der Smartphone-Hersteller und Softwareentwickler die Daten erfassen und verarbeiten. Also blieb den Forschern nichts anderes übrig als einige Vermutungen anzustellen.
Erste Vermutung: Smartphone-Hersteller, die persistente Identifikatoren erfassen, sind dazu in der Lage Benutzeraktivität zu tracken, selbst wenn der Benutzer alle Daten auf dem Smartphone löscht und die SIM-Karte wechselt.
Zweite Vermutung: Alle Marktakteure verfügen über die Fähigkeit Daten auszutauschen. Außerdem können sie durch die Kombination von persistenten und temporären Kennungen zusammen mit allen Arten von Telemetriedaten ein recht vollständiges Profil mit den Gewohnheiten und Vorlieben des Benutzers erstellen. Wie das in der Praxis abläuft – und ob Entwickler tatsächlich Daten austauschen oder an Drittanbieter weiterverkaufen – konnte mit der Studie nicht festgestellt werden.
Schlussfolgerungen
Das Smartphone, das in der Studie in Bezug auf Datenschutz am besten abschnitt, war das Handy mit der Android-Variante /e/OS, denn dieses Betriebssystem für Smartphones verwendet ein Gegenstück zu den Google Mobile Services und überträgt überhaupt keine Daten. Das andere Smartphone mit Open-Source-Firmware (LineageOS) übertrug keine Daten an die Entwickler. Da auf diesem Handy aber Google-Dienste installiert waren, werden Daten an Google gesendet. Diese Dienste sind notwendig, damit das Gerät richtig funktioniert – manche Apps und viele Features funktionieren ohne die Google Play Services einfach nicht, oder nur schlecht.
Zwischen der proprietären Firmware von bekannten Handymarken gibt es keine großen Unterschiede. Unter dem Vorwand der Benutzerpflege erfassen alle diese Hersteller eine recht große Menge an Daten. Sie ignorieren es einfach, wenn ein Benutzer versucht zu verhindern, dass seine Daten erfasst und seine „Nutzungsdaten“ übertragen werden, schlussfolgern die Forscher. Es sind mehrt Vorschriften notwendig, um die Daten der Verbraucher zu schützen – aktuell ist es nur technisch versierten Benutzern möglich die Übertragung von Telemetriedaten vollkommen zu unterbinden, weil sie dazu fähig sind ein benutzerdefiniertes Betriebssystem (mit Einschränkungen bezüglich der Benutzung von gängiger Software) auf ihrem Smartphone zu installieren und zu verwenden.
Unter dem Gesichtspunkt der Sicherheit stellt das Erheben von Telemetriedaten allem Anschein nach, kein direktes Risiko dar. Diese Situation ändert sich allerdings radikal bei extrem billigen Smartphones, die vorinstallierte Malware enthalten können.
Positiv zu bewerten ist immerhin, dass die Datenübertragung recht sicher ist und Außenstehende nicht so leicht auf diese Informationen zugreifen können. Die Forscher wiesen allerdings darauf hin, dass Folgendes berücksichtigt werden sollte: Für die Studie wurden europäische Smartphone-Modelle mit lokalisierter Software verwendet. In anderen Ländern und je nach den gesetzlichen Datenschutzgesetzen könnten die Ergebnisse der Studie ganz anders ausfallen.