Android sendet Datenlecks

F-Droid warnt seit langem offensichtlich vor möglichen Risiken der von uns vertriebenen Apps. Unser Team konzentriert sich derzeit speziell auf: Tracking. In der Regel ist das Tracking für den Nutzer vollkommen undurchsichtig. In Datenschutzrichtlinien werden diese gesammelten Daten oft als Metadaten bezeichnet, was meist eine übermäßige Vereinfachung ist. Metadaten verraten in der Regel: Kommunikationspartner und -gewohnheiten, Konsumpräferenzen, Protokolle über Ihren Standort, aber auch Aktivitäten wie Schlafen, Autofahren, Gehen usw. Mit ein wenig Aufwand ist es in der Regel machbar, Politik, sexuelle Vorlieben, Gesundheitszustände usw. mit angemessener statistischer Sicherheit aus Metadaten zu extrahieren.

Wenn wir uns mit dem Tracking unter Android beschäftigen, müssen wir uns auch mit den Strömen von (Meta-)Daten unter Android beschäftigen. Es gibt eine Reihe von Möglichkeiten, Daten zwischen Apps weiterzugeben, Broadcasts ist eine der Hauptmöglichkeiten dafür. Ein typischer Anwendungsfall, den wir gefunden haben, ist, dass Media-Player auf Android das gerade abgespielte Lied per Broadcast übertragen. Jede App auf Ihrem Gerät kann diese Broadcasts abonnieren. Während dies für alle möglichen Anwendungsfälle nützlich erscheinen mag, ist dies tatsächlich ein potenzielles großes Datenschutzleck.

Uns ist keine Datenschutzforschung über das Android-Broadcast-System bekannt. Wir kennen also nicht das volle Ausmaß aller potenziell durchsickernden (Meta-)Daten. Wir wissen auch nicht, ob es da draußen Tracker oder andere Malware gibt, die diese Daten bereits ausnutzen. Wir waren in der Lage, diese zu finden, also ist es vernünftig anzunehmen, dass andere das auch können. Wir haben dies in unsere weitere Forschung zur automatischen Identifizierung von Trackern einbezogen und hoffen, dass dieser Artikel das Bewusstsein anderer Datenschutzforscher schärft.