Eine von Forschenden der Universität Edinburgh und dem Trinity durchgeführte Studie enthüllt massive Datenschutzprobleme von Android.
Eine gründlich durchgeführte Analyse von beliebten Android-Smartphones enthüllte ein signifikantes Ausmaß an Datensammlung. Nicht nur werden diese Daten ohne opt-out-Möglichkeit für den Benutzer gesammelt, sondern auch mit Drittparteien geteilt.
Forschende der University of Edinburgh (UK) und des Trinity College Dublin in Irland führten eine Studie durch, deren Thema die Datengier von verschiedenen Android-Varianten war. Zu den untersuchten Android-Smartphones gehörten Geräte von Samsung, Xiaomi, Huawei und Realme. Auch LineageOS und dessen Ableger /e/OS wurden unter die Lupe genommen. Haoyu Liu, Paul Patras und Douglas J. Leith legten ihr Augenmerk auf die Daten, die die Betriebssysteme an Entwickler und Drittanbieter wie Microsoft, LinkedIn, Facebook usw. senden.
Eklatante Datenschutzprobleme in den meisten Android-Variationen
Es war zu erwarten, dass die Betriebssysteme hin und wieder Daten an deren Server schicken. Jedoch ging die beobachtete Menge der Daten weit über das hinaus, was die Forscher erwartet hatten. Auch brachte es keine Abhilfe, die Betriebssysteme datensparsam zu konfigurieren. Eine Möglichkeit zum opt-out für Benutzer gibt es nicht. Die untersuchten Varianten von Android wurden auf den europäischen Geräten durchgeführt.
Mobile Apps und deren Datensammelei waren Gegenstand vieler Untersuchungen. Die Problembereiche beinhalteten Identifizierbarkeit, Bewegungstracking, Verhaltensprofile und Verknüpfen verschiedener Daten durch App-Entwickler und anderer Anbieter. Im Gegensatz dazu wurden die darunterliegenden Betriebssysteme in dieser Hinsicht eher vernachlässigt. Erst kürzlich wurden beispielsweise das Google-Apple Exposure Notification System (GAEN) untersucht, welche als Grundlage für die COVID-Apps fungiert. Auch Massenüberwachung von Journalisten, Politikern und Menschenrechtsaktivisten durch Spyware wie Pegasus sind eher eine neuere Entwicklung.
Massive Datensammelwut ohne Benutzerkontrolle
Prof. Doug Leith vom Lehrstuhl für Informatik und Statistik am Trinity College Dublin sagt hierzu: „Ich denke, die massive und fortlaufende Datensammlung unserer Smartphones, für die es kein opt-out gibt, ist komplett an uns vorübergegangen. Wir haben uns zu sehr auf Webcookies und bösartige Apps konzentriert. Ich hoffe, dass unsere Arbeit als Weckruf für die Öffentlichkeit, Politiker und regulatorische Behörden fungiert. Es ist dringend notwendig, dass bedeutsame Aktionen durchgeführt werden, um den Menschen die Kontrolle über die Daten zu geben, die von ihren Smartphones gesendet werden.“
Dr. Paul Patras, außerordentlicher Professor an der School of Informatics von der University of Edinburgh, sagte: „Auch wenn wir Gesetze zum Schutz von personenbezogenen Daten in verschiedenen Ländern über die letzten Jahre hinweg implementiert sahen, beispielsweise in den EU-Mitgliedsstaaten, Kanada und Südkorea, sind die gängigen Datensammelpraktiken immer noch weit verbreitet. Besorgniserregend ist, dass dies auf Smartphones verdeckt geschieht, ohne das Wissen des Benutzers und ohne eine Möglichkeit, diese Funktionalität abzuschalten. Privatsphärefreundliche Android-Varianten gewinnen jedoch an Beliebtheit und unsere Funde sollten für marktführende Konzerne einen Anreiz bieten, sich dem anzuschließen.“
Fast grenzenlose und kaum verhinderbare Datengier von Android
Mit Ausnahme von /e/OS, einer datensparsamen Version von LineageOS, erstellen alle Varianten der untersuchten Android-Betriebssysteme eine Liste aller installierten Apps auf dem Smartphone. Problematisch daran ist, dass es spezifische Benutzerinteressen preisgibt. Beispielsweise Apps für geistige Gesundheit, eine Gebets-App für Muslime, Dating-Apps für LGBT-Menschen usw. können den Benutzer in eine Kategorie oder schlimmstenfalls in eine behördliche Datenbank einordnen.
Das untersuchte Xiaomi-Smartphone schickt eine vollständige Liste der App-Screens an Xiaomi in Singapur. Dies beinhaltet beispielsweise Zeitpunkt und Länge von Telefonanrufen, aber auch wann und wie oft der User eine bestimmte App nutzt. Dies ähnelt dem Zweck von Cookies im WWW, um zu untersuchen, wie lange ein Benutzer sich auf welcher Website aufhält.
Auf dem Huawei-Gerät schickt das Swiftkey-Keyboard Details der Benutzung an Microsoft. Eingeschlossen sind Zeitstempel, wann ein Benutzer tippt, wann er die Suchleiste benutzt und nach Kontakten sucht.
Samsung, Realme, Xiaomi und Google sammeln langlebige Geräteidentifikatoren. Darunter sind beispielsweise Werbeidentifikatoren und die Hardware-Seriennummer des Geräts. Dies hat zur Folge, dass, auch wenn die Werbe-ID zurückgesetzt wurde, sie mit trivialem Aufwand wieder mit der (nicht veränderbaren) Hardware-ID verknüpft werden kann. Im Endeffekt macht diese Kombination das Zurücksetzen der Werbe-ID wirkungslos.
Ebenso sammeln die meisten der vorinstallierten Apps, wie zum Beispiel von Microsoft, LinkedIn, Facebook usw. still und leise Daten und geben diese an die Hersteller weiter, ohne dass der Benutzer dies unterbinden kann. Problematisch hieran ist, dass der Nutzer in vielen Fällen die vorinstallierten Apps nicht deinstallieren kann. Auch hier gibt es keine Möglichkeit zum opt-out durch den Benutzer.
Aus all diesen Problemen ergeben sich möglicherweise Verknüpfungen verschiedener gesammelter Daten in Firmendatenbanken oder anderen Orten. Von den untersuchten Android-Varianten war /e/OS das einzige, das kaum Daten übermittelt.
Tarnkappe.info