Einige Android-Versionen geben die persönlichen Daten der Benutzer ohne Möglichkeit zum Opt-out weiter

0


EIN neuer Bericht veröffentlicht von Forschern des Dubliner Trinity College (via Gizmodo) untersucht Versionen des Android-Betriebssystems von Google, die von Herstellern wie . entwickelt wurden Samsung, Huawei und Xiaomi. Die Forscher fanden heraus, dass diese Android-Varianten selbst dann, wenn die Software “minimal konfiguriert” ist und ein Android-Telefon auf einem derzeit nicht genutzten Schreibtisch sitzt, “erhebliche” Informationsmengen an die Entwickler und andere Unternehmen zurücksenden, die ” vorinstallierte System-Apps” wie Facebook, Google, LinkedIn und Microsoft.
Bei den „vorinstallierten“ System-Apps handelt es sich um solche, die sich out-of-the-box auf dem Telefon befinden und nicht gelöscht werden können. Und hier ist ein erschreckender Gedanke: Selbst wenn Sie nie eine dieser Apps geöffnet haben, haben sie dennoch Daten an die Muttergesellschaft der App und viele Drittfirmen zurückgesendet. Leider gibt es keine Möglichkeit, dieser Datenweitergabe zu widersprechen.

Eine Studie von Forschern zeigt, wie Android-Telefone persönliche Daten verbreiten können

Die Forscher haben die vom Android-Betriebssystem gesendeten Daten einschließlich der bereits erwähnten vorinstallierten System-Apps abgefangen und analysiert. Die Studie geht von einer Situation aus, in der der Gerätebesitzer seinem Telefon nicht die Freigabe von Daten ermöglicht, sondern für alles andere die Standardeinstellungen verwendet. Das Forschungsteam hat ein Diagramm gedruckt, das die von jeder der Android-Betriebssystemvarianten gesammelten Daten zeigt.

Alle Unternehmen, deren Android-Betriebssystemvarianten verfolgt wurden, teilten Informationen, die bei der Identifizierung eines bestimmten Mobilgeräts helfen können, wie beispielsweise die eindeutige IMEI-Nummer eines Mobiltelefons. Diese Daten werden zusammen mit Daten übertragen, die der Nutzer zurücksetzen kann, wie z. B. Werbe-IDs. Da die Daten jedoch paarweise gesendet werden, hilft das Zurücksetzen der Werbe-ID dem Benutzer nicht, da sein Gerät immer mit seiner IMEI-Kennung verknüpft wird.

Google sammelt eine große Datenmenge von mehreren Geräten; Auf dem in der Studie verwendeten Samsung-Handy wird die Google-Werbenummer an Samsung-Server gesendet und mehrere Samsung-System-Apps verwenden Google Analytics, um Daten zu sammeln. Der Push-Dienst von Google wird mit der Microsoft OneDrive-System-App verwendet, und auf dem getesteten Huawei-Telefon hat die Microsoft Swiftkey-Tastatur die Google Advertising ID des Telefons an Microsoft-Server gesendet. Ebenso schickte das in der Studie verwendete Xiaomi-Handy seine Google Advertising ID an Xiaomi-Server.

Der Bericht stellt auch fest, wie System-Apps bestimmte Informationen im Zusammenhang mit der App-Nutzung nachverfolgen können, z. B. den Namen der verwendeten Apps, wann sie verwendet werden, welche App-Bildschirme wann und wie lange angezeigt werden. Als Beispiel ist die Standard-Systemtastatur des Huawei-Handys Microsofts Swiftkey (wie wir bereits gebührend angemerkt haben). Informationen wie die Verwendung der Tastatur innerhalb einer App und die App-Nutzung werden an die Server von Microsoft gesendet.

Einige der Android-Betriebssystemvarianten sammeln auch eine Liste der installierten Apps auf einem Telefon. Die Daten sind zwar nicht so invasiv wie das Tracking der App-Nutzung, aber sie sind Gold für Werbetreibende, die die Interessen einer Person anhand der Art von Apps bestimmen können, die sie auf einem Gerät installiert. Wenn sie mehrere Sport-Apps, Apps für Börsenkurse, Apps für den Broadway oder Apps zum Kochen sehen, kann ein Profil erstellt werden, das Werbetreibenden bei der Entscheidung hilft, welche Produkte einem bestimmten Benutzer angeboten werden sollen.

Standortdaten können verwendet werden, um Benutzer zu deanonymisieren

Google hat kürzlich Einschränkungen hinzugefügt auf die Erhebung derartiger Daten, bezieht sich aber nur auf Apps aus dem Play Store, nicht auf die von den Forschern untersuchten System-Apps. Der Bericht stellt fest: „Ein Mobiltelefon kann auch mit der Identität einer Person verknüpft werden, wenn Daten gesammelt werden, die es ermöglichen, ihre Identität mit hoher Wahrscheinlichkeit abzuleiten oder zu erraten. Dies kann möglicherweise über den Standort-Zeitverlauf eines Mobiltelefons geschehen. Viele Studien haben gezeigt dass im Laufe der Zeit verknüpfte Standortdaten verwendet werden können, um Benutzer zu deanonymisieren.”

Einige der varianten Android-Betriebssysteme (siehe Samsung und Xiaomi) und System-Apps von Drittanbietern von Google und Microsoft protokollieren Benutzerinteraktionen. Ein Teil dieser Datenprotokollierung wird von Entwicklern benötigt, um Probleme mit ihren Apps frühzeitig zu erkennen. Dennoch kann die Erfassung dieser Daten aufdringlich werden und ein großes Sicherheitsproblem darstellen.

Die Jungs (und Mädels?) drüben bei BleepingComputer fragte Google nach seiner Fähigkeit, Daten zu sammeln, ohne Benutzern die Möglichkeit zu geben, sich abzumelden, und das Unternehmen sagte, dass “moderne Smartphones so funktionieren”.

source site