Als eindeutige Device-ID wird bei Apple meist die UDID verwendet. Das ist eine eindeutige Nummer, die jedes iPhone oder iPad bekommt. Unter Android wird meist die IMEI übermittelt. Ein Advertising-Network wie Mobclix oder ein Nutzungsanalysedienst wie Flurry kann mit dieser Nummer zunächst keine persönlichen Daten wie Name und Adresse ermitteln, es sei denn, sie schnüffeln auch im Adressbuch oder anderen geeigneten Daten auf dem Mobiltelefon herum.

Es gibt aber durchaus auch andere Möglichkeiten. Beispielsweise können die App-Hersteller eine Registrierung verlangen, bei der persönliche Daten abgefragt werden. Das muss nicht unbedingt Name und Adresse sein, sondern es kann sich auch um allgemeinere Daten wie Alter und Geschlecht handeln. Diese Daten kann ein Dienst mit IMEI oder UDID verbinden.

Auch Apple oder ein Mobilfunkprovider kann eine Identifizierung durchführen. Für Apple ist es beispielsweise möglich festzustellen, welches iTunes-Konto üblicherweise von einer bestimmten UDID verwendet wird. Die transitive Kette sieht dann wie folgt aus:  UDID -> iTunes-Konto -> Name. Dasselbe gilt für Mobilfunkprovider. Meist steckt in einem Mobiltelefon dieselbe SIM-Karte, über deren Nummer (IMSI) der Nutzer identifiziert werden kann. Über IMEI -> IMSI -> Name und Adresse ist der Zusammenhang schnell hergestellt.


Bild 2: Unter Android sendet Flurry neben der IMEI viele Informationen über das verwendete Smartphone (Screenshot: ZDNet).

Wer mit Wireshark einen Blick auf Apps wirft, die Flurry verwenden, erkennt, dass unter Android neben der IMEI zahlreiche Konfigurationsinformationen über das Handy übermittelt werden. Bild 2 zeigt, dass die genaue Hardwareaustattung und die Betriebssystemversion an Flurry gesandt werden.

Etwas anders sieht es bei iOS aus. Da die Anzahl von iOS-Geräten überschaubar ist, müssen Daten wie die Bildschirmauflösung nicht übermittelt werden. Dafür sieht man in Bild 3, dass beispielsweise das Spiel "Paper Toss" auch die Zeitzone übermittelt. Da diese normalerweise automatisch gesetzt wird, lässt sich zumindest auf den Aufenthaltsort Deutschland schließen.


Bild 3: Unter iOS sendet das Spiel „Paper Toss“ neben der UDID auch die Zeitzone an Flurry, aus der sich der Aufenthaltsort ungefähr bestimmen lässt (Screenshot: ZDNet).

Nicht immer werden UDID oder IMEI verwendet. Googles Advertising-Network AdMob sendet als eindeutige ID, die sogenannte ISU. Sie wird aus UDID oder IMEI berechnet, aber vor der Übertragung per MD5 gehasht, so dass keine Rückschlüsse mehr auf UDID beziehungsweise IMEI möglich sind.

Das hört sich im ersten Moment gut an, nützt aber im Zweifel jedoch wenig. Wer, auf welchem Wege auch immer, an UDID oder IMEI gekommen ist, kann einfach den MD5-Algorithmus darauf anwenden und den erhaltenen Wert mit der gehashten ISU vergleichen.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

2 Tagen ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

2 Tagen ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

2 Tagen ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

2 Tagen ago

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

2 Tagen ago

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

2 Tagen ago