Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Datensammlungen der Smartphone Hersteller:
  1. iPhones: In Apples Datenschutzbestimmungen räumt der Konzern sich das Recht ein, den Standort des Nutzers laufend an Apple zu senden. Apple wird diese Daten Dritten zur Verfügung stellen. Damit begann die heute allgegenwärtige Datensammlung "im Gerät" und für diese Innovation wurde Apple mit dem BigBrother 2011 geehrt.

    Seit iOS Version 8 übertragen Apples Mobilgeräte automatisch die Liste der Telefon­anrufe in die Apple Cloud (Telefonnummer, Datum/Uhrzeit, Dauer). Diese Daten­speicherung kann man nur verhindern, wenn man de iCloud komplett abschaltet.

    Mit iOS Version 10 hat Apple diese Datenspeicherung ausgeweitet und überträgt die Metadaten der Kommunikation von allen Apps in die Apple Cloud, die mit CallKit-Unterstützung eingehende Anrufe auf dem Lockscreen anzeigen. Das betrifft neben Telefonie und SMS auch iMessage, WhatsApp, Skype und andere verschlüsselten VoIP Telefonate sowie Kommunikation via Messenger. Apple nennt es Call History.

    Seit iOS Version 13 wird die Call History verschlüsselt in der Apple Cloud gespeichert.

    Die Kommunikationsdaten werden für 4 Monate im iCloud Konto des Benutzers gespeichert und können dort von Behörden abgegriffen und für die Kommunikations­analyse genutzt werden. Die Firma Elcomsoft bietet Geheimdiensten die nötigen Tools, um diese Daten zu erschließen. Nur wenn die 2-Faktor-Authentifizierung für den Zugriff auf die iCloud aktiviert wurde, stellt es Geheimdienste vor ernsthafte Probleme. 

  2. Google Android: die tief im System verankerte Google Play Service App sendet alle 20min folgende Daten an Google:
    • Telefonnummer und SIM-Kartennummer
    • Gerätenummer (IMEI) und Seriennummer des Gerätes
    • WLAN-MAC-Adresse und IP-Adresse
    • Andoid-ID (E-Mail Adresse des Google Kontos)
    • Standort (wenn die "Standortverfolgung" aktiv ist)

    Mit Android 10 hat Google für Apps den Zugriff auf eindeutige Hardware­kennungen wie IMEI, SIM, Seriennummer, MAC Adressen usw. allgemein verboten und nur für eine restriktiv gepflegten Liste von Ausnahmen zugelassen. Apps sollen die Werbe-ID für das Tracking nutzen, die der Nutzer neu auswürfeln oder löschen kann. Den Zugriff auf eindeutigen Hardwarekennungen beansprucht Google exklusiv für sich.

    Die gesamte Call History (Telefonnummer, Datum/Uhrzeit, Dauer) wird seit April 2016 an Google gesendet. Zur Call History gehören auch die Metadaten verschlüsselter Anrufe mit Messenger Apps wie Signal, Telegram, Elements oder Videokonferenzen via Zoom App. In Googles Datenschutz Policy steht:
    Wenn Sie unsere Dienste nutzen, um Anrufe zu tätigen und zu erhalten oder um Nachrichten zu senden und zu empfangen, erheben wir möglicherweise Telefonie-Informationen wie Ihre Telefonnummer, die Anrufernummer, die Nummer des Angerufenen, Weiterleitungsnummern, das Datum und die Uhrzeit von Anrufen und Nachrichten, die Dauer von Anrufen, Routing-Informationen und die Art der Anrufe.
    Die Call History wird wie alle anderen Daten für die Optimierung der Werbung verwendet und auch an Werbepartner weitergegeben. Anhand der Daten werden Vermutungen über sexuelle Vorlieben, politische Orientierung und andere Themen erstellt. Die Privacy Policy von Google beschreibt es als gaaaanz harmlos:
    Diese Daten verwenden wir beispielsweise, um Ihnen ein YouTube-Video zu empfehlen, das Ihnen gefallen könnte

    Da Google seit 2009 Partner im PRISM Spionageprogramm der NSA ist, kann man wohl davon ausgehen, dass...

    Neben Google können auch Apps die Call History absaugen, wenn sie die Berechtigung "Reading SMS and Call Logs" haben. Die Facebook App nutzte natürlich diese Möglichkeit und sammelte die Call History von Smartphones ein, auf denen die App installiert war. Seit 2019 hat Google diese Berechtigung für Apps etwas eingeschränkt. Apps benötigen eine Erlaubnis von Google für den Zugriff auf die Call History. 

  3. Huawei Android: Aufgrund der US-Sanktionen gegen Huawei werden die aktuellen Smartphones des chinesischen Konzerns ohne Google Dienste und Zugriff auf den Google Playstore ausgeliefert. Google-freie Huawei Phones übertragen keine Call History in die Cloud. (Ein Backup der Call History kann auf einen Datenträger erfolgen und dann auf ein neues Smartphone übertragen werden (wenn gewünscht).)

    Laut Privacy Statement werden nur Standortortdaten an Server von Huawei übertragen, wenn man Apps aktiv nutzt, die auf den Standort zugreifen und dabei Informationen über WLANs in der Umgebung zur Verbesserung der Genauigkeit verwenden.

  4. /e/ Android: Die googlefreien Smartphones der /e/ Foundation mit dem installiertem Custom ROM /e/ verwenden standardmäßig keine Cloud Dienste und übertragen keine Daten an die /e/ Foundation. Um Cloud Funktionen zu nutzen, kann man einen Account bei der /e/ Cloud erstellen oder eine beliebige andere Nextcloud Instanz nutzen.

    Erfahrene Nutzer können das Costum ROM von /e/ auch auf einem vorhandenen Google Smartphone installieren und damit Google rauswerfen. Es werden aktuell 93 Android Smartphones unterstützt (Stand Okt. 2020).

Es ist immer wieder verwunderlich, wenn Leute seit 20 Jahren gegen die gesetzliche Verpflichtung zur Vorratsdatenspeicherung (bzw. Mindestspeicherpflicht) kämpfen und bei ihren Lieblings-Lifestyle-Gadgets keine Probleme damit haben, wenn Apple oder Google die Kommunikationsdaten freiwillig auf Vorrat sammeln und Behörden zur Verfügung stellen.

Smartphone Apps sammeln fleißig Daten (meist unbemerkt)

  1. Mit der Software Carrier IQ, die auf über 140 Mio. Android Handys und auf einigen Apples iPhone installiert war, sammelten viele Informationen über die Nutzer für den Mobilprovider. Die Software konnte nicht durch die Nutzer deinstalliert werden.
  2. Tausende Apps sammeln überflüssigerweise Standortdaten und übertragen sie an die Entwickler der Apps. Der Bundes­daten­schutz­beauftragte erwähnt beispiels­weise eine App, die das Smartphone zur Taschenlampe macht und bei jedem Einschalten den Standort an den Entwickler der App sendet.
  3. Einige Spiele der Hersteller iApps7 Inc, Ogre Games und redmicapps gehen in ihrer Sammelwut so weit, dass sie von Symantec als Malware eingestuft werden. Die Spiele fordern folgende Rechte für Werbeeinblendungen:
    • ungefährer (netzwerkbasierter) Standort
    • genauer (GPS-)Standort
    • uneingeschränkter Internetzugriff
    • Browserverlauf und Lesezeichen lesen
    • Browserverlauf und Lesezeichen erstellen
    • Telefonstatus lesen und identifizieren
    • Automatisch nach dem Booten starten
    Auch Spiele von Disney verlangen sehr weitreichende Freigabe, so dass sie nur als Spionage-Tools bezeichnet werden können.
  4. Einige Apps beschränken sich nicht auf die Übertragung der Standortdaten und Ein­blendung von Werbung. Die folgenden Apps wollen auch das Adressbuch der Nutzer auslesen und ohne Freigabe durch den Nutzer an den Service-Betreiber senden:
    • die Social Networks Facebook, Twitter und Path
    • die Location Dienste Foursquare, Hipster und Foodspotting
    • die Fotosharing App Instagram
    • die VoIP Software Viper sowie verschiedene Messaging Dienste
    • ...

    Politisch brisant wird diese Datensammlung, wenn Datensammler Twitter alle Daten von Wikileaks Unterstützern an die US-Behörden heraus geben muss...

    Über die Firma Viper findet man kaum Angaben. Sitzt die Firma in Zypern, Israel, USA oder Weissrussland? Die auf der Webseite angegebene Kontakt-Adresse ist ein Brief­kasten auf Zypern, Telefonnummern haben amerikanische Vorwahlen und die Domain versteckt sich hinter Domains by Proxy. Trotzdem haben bisher 50 Millionen Nutzer die Liste ihrer persönlichen Kontakte der Firma zur Verfügung gestellt. Sehr seltsam.

    Eine weitere Studie wies nach, dass eine signifikante Anzahl von Gratis-Apps Daten an ein US-amerikanisches Werbenetzwerk senden. Adressbuch, Aufenthaltsort und Kalender werden routinemäßig an das Werbeunternehmen MobClix weitergeleitet.

  5. Viele Smartphone Apps enthalten datensammelnde Bibliotheken von Dritten. Führend sind dabei die SDKs von Google (in 50% aller Apps) und Facebook (in 30% aller Apps). Die in den Apps enthaltenen Bibliotheken sammeln fleißig Daten über jede Interaktion des Nutzers mit der App oder Standortdaten oder... und schicken sie an die großen Datensammler. Als Gegenleistung bekommen die Entwickler Analysedaten über das Nutzerverhalten ihrer App, Crashreports und Einnahmen durch Werbung.

    Die Datenkonzerne werten die Daten natürlich parallel auch für ihre Interessen aus. So sammelt Facebook beispielsweise über diesen Weg große Mengen an Daten über Nicht­mitglieder, die in sogenannten Schattenprofilen geführt werden.

    Das SDK der Firma Anomaly Six wurde in 500 Apps eingebaut. Diese Apps sendeten damit laufend die Standortdaten von einigen hundert Mio. Nutzern an das US-amerikanische Unternehmen. Anomaly Six analysiert die Bewegungsmuster von Personen und Gruppen und verwendet nach eigenen Angaben weitere Datenquellen. Die Ergebnisse der Analyse werden an US-Firmen und US-Behörden verkauft.

    Die Webseite Exodus Privacy hat 52.000+ Android Apps analysiert und sammelt weiterhin Analysen von Apps. Die Übersicht der Tracker zeigt, dass am häufigsten Google Tracking Bibliotheken verwendet werden und das Facebook an zweiter Stelle steht. Bibliotheken für Werbung und Analytics werden besonders gern verwendet, da sie jede Aktion des Nutzers protokollieren und an Google, Facabook o.a. senden.

    Tracker in Apps (Statistik)
    Neben den negativen Beispielen mit mehr als 30 Tracking Bibliotheken in einzelnen Apps findet man auf Exodus Privacy auch positive Beispiele ohne Tracker. Wenn man eine App für eine bestimmte Aufgabe sucht, findet man dort Alternativen ohne Tracker (wobei ich Crash Reporting Bibliotheken als unkritisch einstufen würde).

    Hinweis: man muss nicht immer für jeden Anwendungsfall eine App nutzen. Viele Dienste bieten eine Smartphone-taugliche Webseite im responsive Design, die mit einem privacy-freundlichen Browser (z.B. Firefox Klar) genutzt werden kann.

  6. Einige E-Mail Apps übertragen bei Einrichtung eines E-Mail Accounts die E-Mail Adresse und das Passwort für den Account an den Hersteller der App.

    Hey - das nennt man "Phishing" und nicht "Service"!!!

    Die Server der App Hersteller verwenden die Login Credentials, um sich bei dem externen E-Mail Account einzuloggen und nach neuen E-Mails zu suchen. Sie laden die Mails auf den eigenen Server, beschnüffeln sie manchmal ein bisschen und benachrichtigen den Nutzer dann per GCM-Push über neu eingetroffene E-Mails.

    • Prominentes Beispiel ist die MS Outlook App für iOS und Adroid. Das EU Parliament's IT department (DG ITECS) hat deshalb die Nutzung der MS Outlook App verboten. In dem Privacy Statement findet man den Hinweis, dass die Login Credentials für E-Mail Accounts (Username, Passwort) von Microsoft gesammelt werden und dass sich MS die E-Mails von den Providern holt und verarbeitet:
      Email Credentials: We collect and process your email address and credentials to provide you the service.

      Email Data: We collect an process your email messages and associated content to provide you the service. [...]
    • M. Kuketz nennt in seinem Blog mit den E-Mail Apps BlueMail, TypeMail Mail.Ru, myMail u.a.m. weitere Beispiele. Mit der Einrichtung des E-Mail Accounts in der BlueMail App gibt man der Firma das Recht, in dem Mail Account zu schnüffeln:
      When you link your email accounts (provided by third parties) to Blue Mail, you give Blue Mail permission to securely access your information contained in or associated with those accounts.
      Außerdem beschnüffelt der BlueMail Server die E-Mails und wertet z.B. die Geolocation Tags in versendeten Fotos aus. Wer das nicht möchte, soll eine Kamera verwenden, die keine Geolocation Informationen in den Fotos speichert. Auch diese Schnüffelei wird juristisch korrekt im Privacy Statement benannt:
      Geolocation
      Photos you take or attach in Blue Mail may contain recorded location information. If you'd rather not have location data associated with your photos, please consult the documentation for your mobile device's camera feature to disable it. Some of the information Blue Mail uses to communicate with your device - like its IP address - can be used to approximate the device's location. This information may be used to administer, analyze and improve Blue Mail.
    Vertrauenswürdige Alternativen für E-Mail Apps sind K9Mail oder FairEmail. Nach dem Wechsel auf eine vertrauenswürdige App sind die Passwörter zu wechseln!
  7. Die Security-Suites von Avira, Bitdefender und AVG werben mit einer einfachen Lokalisierung des Smartphone bei Diebstahl. Dafür werden die Standortdaten ständig an die Firmen übertragen, auch wenn man den Diebstahlschutz deaktiviert hat.
Lizenz: Public Domain