εxodus ETIP: Autorisierte Datenbank zur Verfolgung von Tracker

Der Schreckensliste des Überwachungskapitalismus ist eine weitere Story hinzuzufügen: das Militär der Vereinigten Staaten verkauft Tracking- und Standortdaten von Firmen, die viele Millionen Leute tracken. Nutzer müssen reelle Möglichkeiten haben, aus „Big Tech“ auszusteigen, wo Überwachung vorherrscht. Wir prüfen alle Apps, die bei fdroiddata eingereicht werden, auf Tracking und andere „Anti-Features“. F-Droid ist in mobile Plattformen wie CalyxOS integriert, die frei von proprietärer Big-Tech-Software sind. Nachdem wir nur freie Software herausgeben, bedeutet das, dass wir den kompletten Quellcode überprüfen müssen. Das macht es sehr viel einfacher Tracking-Aktivitäten herauszufinden, selbst wenn sie versehentlich hineingerutscht sind, ohne dass die App-Entwickler davon wissen, zum Beispiel wenn eine freie Bibliothek andere Abhängigkeiten nachsichzieht.

Bis jetzt ist die wirkungsvollste Methode, automatisch Tracker zu finden, eine Suche nach bekannten Zeichenketten in den aus dem APK extrahierten Inhalten. Domain-Namen sind ein Beispiel, also wenn eine App zu google-analytics.com oder facebook.com Daten sendet, dann ist klar, dass sie eine Form von Tracking durchführt. Diese Listen gut bekannter Strings muss von Menschen erstellt und gepflegt, dann gesammelt und geprüft werden. Exodus Privacy schufen ihre Exodus Tracker Investigation Platform (ETIP) für genau diesen Zweck. F-Droid, Yale Privacy Lab, jawz101, Guardian Project und weitere haben ihre Anstrengungen auf εxodus ETIP als die autorisierte Datenbank für diese Strings zusammengefasst.

Durchsuchen des offenen Webs nach Schlüsselbegriffen

Nachdem Tracking meistens durch Firmen erfolgt, die versuchen Kunden zu gewinnen, bewerben und dokumentieren sie ihre Dienste im Netz. Wir verbrachten einige Zeit mit der Suche nach diesen Informationen, um zu sehen, was wir heraufinden können. Wir suchten hauptsächlich mittels zweier Informationshappen: die API Key Identifiers, die wir extrahierten und „Top 10“-Listen der Firmen, die Tracking und verwandte Dienste anbieten. Dabei fügten wir der Datenbank von εxodus ETIP über 50 neue Dienstprofile hinzu. Wir ergänzten auch mehr als 100 zusätzliche Informationsteile zu bereits bestehenden Einträgen wie Strings zur SDK-Identität, Verknüpfungen zu Dokumentationen, Datenschutzrichlinien und Informationen über die Tracking-Methoden der Firmen.

Aus dieser Recherche bewahrten wir eine Auswahl an Versprechungen ausgewählter Tracking-Firmen auf:

  • „Glassbox bietet Lösungen zur Kundenverhaltensanalyse, die Ihnen nicht nur sagen, was ein Kunde tut. Sie erklären Ihnen warum.“
  • „Geplanter Traffic aus allen Quellen, einschließlich der 50% aus dem verborgenen Netz, in dem Drittanbieter-Cookies blockiert werden, zur Erhöhung zielorientierter Datenbestände.“
  • „Kunden- und Produktdaten in Echtzeit sammeln, von überall“
  • „PlaytestCloud fängt das gesamte Gameplay-Erlebnis ein, verwandelt Sie in einen Zuschauer mit Superkräften.“
  • „Wir zeichnen den Bildschirm der Spieler auf, ihre Kontakte und was sie zu sagen haben, zu jeder Zeit.“
  • „Wir kuratieren Geospatial Ground Truth Datensets in einem globalen Umfang“
  • „Segmentierung und Analyse statt von heute auf morgen in Echtzeit vornehmen. Unser DMP arbeitet während der Sitzung für perfekte Übereinstimmungsquoten selbst bei Passerby Traffic

Crowdsourcing für die Jagd nach Tracker

Tracker verfolgen ist die Sorte Arbeit, die sehr gut zu Crowdsourcing passt. Tracking-Firmen verschwinden und benennen sich ständig um, um zu genaue Untersuchungen zu vermeiden. Aber sie müssen für Entwickler immer noch erreichbar bleiben, um Kunden zu finden. Das bedeutet, wir können sie finden. Nehmt an der Suche teil! Auch Nicht-Techniker können sich daran beteiligen, zum Beispiel, wenn ihr Nachrichten über eine Tracking Company lest, durchsucht, um herauszufinden, ob sie schon in ETIP ist. Wenn nicht, eröffnet ein Ticket mit der Bitte sie hinzuzufügen. Android-Entwickler, die nur wenig Zeit haben, können Code-Signaturen, Domain-Namen und weitere technische Schlüsselteile auf ETIP ergänzen. Oder auch programmiert schnelle Skripte mit neuen Ideen zur Bestimmung von Tracking.

Es gibt eine Reihe von Foren, wo ihr um Unterstützung beim Einstieg nachfragen könnt. Wir hoffen bald von euch zu hören!

(Diese Arbeit wurde gefördert durch NLnet’s NGI Zero PET fund.)