Studie: Populäre Android-Apps verfolgen unerlaubt Aktivitäten ihrer Nutzer

Rund 17.000 Android-Apps sammeln Daten, mit denen sie die Benutzer der Apps eindeutig identifizieren und deren Aktivitäten dauerhaft verfolgen können. Das geht aus einer Studie des International Computer Science Institute hervor. Die Forscher gehen davon aus, dass die Datensammlung Googles Richtlinien für die Sammlung von Daten zu Werbezwecken verletzt.

Um Nutzer zu verfolgen, verknüpfen die Apps die Werbe-ID, die tatsächlich der Personalisierung von Online-Anzeigen dient, mit anderen Identifizierungsmerkmalen eines Smartphones. Während die Werbe-ID zurückgesetzt werden kann, sind die anderen Merkmale eindeutig und nicht änderbar. Dazu gehören die MAC-Adresse, die IMEI und auch die Android-ID. Durch die Verknüpfung dieser Daten wird vor allem die von Android angebotene Option zu Deaktivierung personalisierter Anzeigen umgangen.

Serge Egelman, Leiter des Forschungsteams, kritisiert, dass die Apps, die diese Daten sammeln, in die Privatsphäre der Nutzer eindringen. Seiner Ansicht nach verletzen die meisten der Apps, die Daten zur Identifizierung von Nutzern an Werbenetzwerke übermitteln, Googles Richtlinien. Der Internetkonzern sei bereits im September über die Ergebnisse der Studie informiert worden.

Grundsätzlich erlaubt Google die Sammlung von Informationen, die Nutzer identifizieren. Es ist Entwicklern jedoch untersagt, ohne die eindeutige Zustimmung von Nutzern die Werbe-ID mit Hardware-IDs zu verknüpfen. Google empfiehlt deswegen, grundsätzlich nur die Werbe-ID für die Personalisierung von Anzeigen abzufragen.

Die Studie nennt auch Namen von Apps, die sich nicht an Googles Empfehlungen halten. Dazu gehören Angry Bird Classic, Audiobooks by Audible und Flipboard. Betroffen sind aber auch drei weit verbreitete Apps des Entwicklers Cheetah Mobile: Clean Master, Battery Doctor und Cheetah Keyboard. Alle genannten Apps sind auf mindestens 100 Millionen Geräten installiert. Das System-Tool Clean Master bringt es sogar auf mehr als eine Milliarde Installationen.

Google bestätigte, dass es Egelmans Bericht geprüft und gegen einige Apps Maßnahmen eingeleitet haben. Wie die Maßnahmen aussehen und bei welchen Apps Verstöße gegen die Richtlinien festgestellt wurden, ließ das Unternehmen jedoch offen. Zudem erklärte Google, dass die Sammlung von Hardware-Merkmalen und der Android-ID unter bestimmten Umständen, beispielsweise um Betrugsversuche zu erkennen, zulässig sei – jedoch nicht für Werbezwecke.

Verstöße kann Google nach eigenen Angaben jedoch nur feststellen, wenn Apps die Daten zur Identifizierung von Nutzern an Googles eigenes Werbenetzwerk AdMob senden. Die Daten, die an Werbenetzwerke von Dritten gingen, könne es nicht kontrollieren.

Rovio, Entwickler von Angry Birds, und Audible standen nicht für eine Stellungnahme zur Verfügung. Ein Sprecher von Cheetah Mobile erklärte, die Android-ID eines Geräts werde nicht für Werbezwecke ausgelesen. Zudem sammle die App Battery Doctor seit einem Update im Jahr 2018 nicht mehr die IMEI. Auch Flipboard widersprach der Vermutung, es setzte die Android-ID zu Werbezwecken ein.