Tausende Apps sammeln überflüssigerweise Standortdaten und übertragen sie an die Entwickler der Apps. Der Bundes­daten­schutz­beauftragte erwähnt beispiels­weise eine App, die das Smartphone zur Taschenlampe macht und bei jedem Einschalten den Standort an den Entwickler der App sendet (vielleicht lustig bis harmlos?)

Weniger lustig wird es, wenn die "Muslim Prayer App" mit mehr als 98 Mio. Nutzern weltweit, die nur an das Gebet erinnert und die Richtung nach Mekka anzeigt, oder die populäre "Muslim Dating App" Standortdaten sammeln und an die Firma Locate X senden. Die Daten werden vom US-Militär gekauft und zur Planung von gezielten Tötungen mit Drohnen genutzt.

Außerdem kauft das U.S. Special Operations Command (USSOCOM) Daten von Locate X zur Planung und Unterstützung von verdeckten Special Forces Einsätzen. Der Secret Service und US Customs and Border Protection (CBP) sind weitere Kundenvon Locate X. 

Außerdem zahlt US Customs and Border Protection (CBP) jährlich fast eine halbe Mio. Dollar an die Firma Venntel für den Zugriff auf die Standort- und Bewegungsdaten. Auch die US-Immigrationspolizei (ICE) gehört zu den Kunden von Venntel. Die Firma Venntel kauft die Daten von harmlosen Wetter Apps und Spielen und bereitet sie auf. 

Der norwegische Journalist M. Gundersen hat in einer Recherche die Datensammlung der Firma Venntel genauer analysiert (deutsche Übersetzung bei Golem.de). Im Februar 2020 hat er auf einem neuen Smart­phone 160 Apps installiert und dieses Smartphone ständig bei sich getragen. Keine der 160 Apps nannte die Firma Venntel in ihren Datenschutzklauseln.

Ein halbes Jahr später forderte er von Venntel Einsicht in die Daten, welche die Firma über ihn gesammelt hatte. Zur Identifizierung übergab er die Advertising-ID des Smart­phone. Als Antwort erhielt er 75.406 Datenpunkte mit Location und Zeitstempel, die in den 6 Monaten gesammelt wurden. Anhand der Daten konnte sein Wohnort, seine Arbeitstelle und auch seine Wanderungen in der Freizeit nachvollzogen werden sowie jede Bank, auf der er sich während der Wanderung ausgeruht hatte. Der Screenshot zeigt den Ausschnitt von 36min aus einer Wanderung (von rechs kommend, eine kurzer Rast und dann nach unten weiter gehend):

Illustration: Harald K. Jansson/Norge i bilder (mit freundlicher Genehmigung von nrkbeta.no)

Venntel informiert M. Gundersen auch darüber, dass seine Daten an die zahlenden Kunden der Firma weiterverkauft wurden, nannte aber keine Namen von Kunden.

In weiteren Recherchen konnte M. Gundersen ermitteln, das Venntel die Daten u.a. von der französischen Firma Predicio und von der US-Firma Complementics kauft. Ein großer Teil der ortsbezogenen Daten stammt außerdem von dem slowakischen Unter­nehmen Sygic, das ein Portfolio von 70 Apps anbietet.

Neben Locate X und Venntel ist die Firma Anomaly Six ein weiterer Baustein bei der Sammlung von Standort- und Bewegungsdaten für US-Behörden und Geheimdienste. Das SDK der Firma Anomaly Six wurde in 500 Apps eingebaut und die Entwickler dafür bezahlt. Diese Apps senden damit laufend die Standortdaten von einigen hundert Mio. Nutzern an das US-amerikanische Unternehmen. Anomaly Six analysiert die Bewegungs­muster von Personen und Gruppen und verwendet nach eigenen Angaben weitere Daten­quellen. Die Ergebnisse werden an US-Firmen verkauft und die Daten von Nicht-US-Bürgern auch an US-Behörden. 

Für den Daten- und Überwachungsforscher Wolfie Christl hat diese Form der Überwachung eine völlig neue Qualität:

Ich habe das Gefühl, dass viele nicht verstehen, dass dies völlig beispiellos ist und anders als das ist, was Edward Snowden im Jahr 2013 aufdeckte.

Statt kompliziertem Schnüffeln im Traffic ist die US-Regierung jetzt ein weiterer Marktteilnehmer in einer bestehenden kommerziellen Trackingwirtschaft.

Fun Fact: Die NSA forderte im Aug. 2020 die Mitarbeiter in der Spionage Community auf, auch auf den privaten Smartphones die Nutzung von Apps mit Standortverfolgung stark einzuschränken, weil auch andere Staaten diese Möglichkeiten nutzen.

• ungefährer (netzwerkbasierter) Standort
• genauer (GPS-)Standort
• uneingeschränkter Internetzugriff
• Browserverlauf und Lesezeichen lesen
• Browserverlauf und Lesezeichen erstellen
• Telefonstatus lesen und identifizieren
• Automatisch nach dem Booten starten

• die Social Network Apps von Facebook, Twitter, Path...
• die Location Dienste Foursquare, Hipster und Foodspotting
• die Fotosharing App Instagram
• die VoIP Software Viper sowie WhatApp und andere Messenger

Politisch brisant können diese Datensammlungen werden, wenn z. B. Twitter alle Daten von Wikileaks Unterstützern an die US-Behörden herausgeben muss. Damit geraten auch die Freunde von Wikileaks Unterstützern als potentiell suspekte Individuen ins Visier von US-Behörden, was u.U. unerwünschte Konsequenzen haben kann.

Über die Firma Viper findet man kaum Angaben. Sitzt die Firma in Zypern, Israel, USA oder Weissrussland? Die auf der Webseite angegebene Kontakt-Adresse ist ein Brief­kasten auf Zypern, Telefonnummern haben amerikanische Vorwahlen und die Domain versteckt sich hinter Domains by Proxy. Trotzdem haben Millionen Nutzer die Liste ihrer persönlichen Kontakte der Firma zur Verfügung gestellt.

Viele Smartphone Apps enthalten datensammelnde Bibliotheken von Dritten. Führend sind dabei die SDKs von Google (in 50% aller Apps) und Facebook (in 30% aller Apps). Die in den Apps enthaltenen Bibliotheken sammeln fleißig Daten über jede Interaktion des Nutzers mit der App oder Standortdaten oder... und schicken sie an die großen Datensammler. Als Gegenleistung bekommen die Entwickler Analysedaten über das Nutzerverhalten ihrer App, Crashreports und Einnahmen durch Werbung.

Die Datenkonzerne werten die Daten natürlich parallel auch für ihre Interessen aus. So sammelt Facebook beispielsweise über diesen Weg große Mengen an Daten über Nicht­mitglieder, die in sogenannten Schattenprofilen geführt werden.

Eine weitere Studie wies nach, dass eine signifikante Anzahl von Gratis-Apps Daten an ein US-amerikanisches Werbenetzwerk senden. Adressbuch, Aufenthaltsort und Kalender werden routinemäßig an das Werbeunternehmen MobClix weitergeleitet.

Die Webseite Exodus Privacy hat 52.000+ Android Apps analysiert und sammelt weiterhin Analysen von Apps. Die Übersicht der Tracker zeigt, dass am häufigsten Google Tracking Bibliotheken verwendet werden und das Facebook an zweiter Stelle steht. Bibliotheken für Werbung und Analytics werden besonders gern verwendet, da sie jede Aktion des Nutzers protokollieren und an Google, Facabook o.a. senden.

Hinweis: man muss nicht immer für jeden Anwendungsfall eine App nutzen. Viele Dienste bieten eine Smartphone-taugliche Webseite im responsive Design, die mit einem privacy-freundlichen Browser (z.B. Firefox Klar) genutzt werden kann.

Passwörter: Einige E-Mail Apps übertragen bei Einrichtung eines E-Mail Accounts die E-Mail Adresse und das Passwort für den Account an den Hersteller der App.

Hey - das nennt man "Phishing" und nicht "Service"!!!

Die Server der App Hersteller verwenden die Login Credentials, um sich bei dem externen E-Mail Account einzuloggen und nach neuen E-Mails zu suchen. Sie laden die Mails auf den eigenen Server, beschnüffeln sie manchmal ein bisschen und benachrichtigen den Nutzer dann per GCM-Push über neu eingetroffene E-Mails.

• Prominentes Beispiel ist die MS Outlook App für iOS und Adroid. Das EU Parliament's IT department (DG ITECS) hat deshalb die Nutzung der MS Outlook App verboten. In dem Privacy Statement findet man den Hinweis, dass die Login Credentials für E-Mail Accounts (Username, Passwort) von Microsoft gesammelt werden und dass sich MS die E-Mails von den Providern holt und verarbeitet:

  Email Credentials: We collect and process your email address and credentials to provide you the service.
  
  Email Data: We collect an process your email messages and associated content to provide you the service. [...]

• M. Kuketz nennt in seinem Blog mit den E-Mail Apps BlueMail, TypeMail Mail.Ru, myMail u.a.m. weitere Beispiele. Mit der Einrichtung des E-Mail Accounts in der BlueMail App gibt man der Firma das Recht, in dem Mail Account zu schnüffeln:

  When you link your email accounts (provided by third parties) to Blue Mail, you give Blue Mail permission to securely access your information contained in or associated with those accounts.

  Außerdem beschnüffelt der BlueMail Server die E-Mails und wertet z.B. die Geolocation Tags in versendeten Fotos aus. Wer das nicht möchte, soll eine Kamera verwenden, die keine Geolocation Informationen in den Fotos speichert. Auch diese Schnüffelei wird juristisch korrekt im Privacy Statement benannt:

  Geolocation
  Photos you take or attach in Blue Mail may contain recorded location information. If you'd rather not have location data associated with your photos, please consult the documentation for your mobile device's camera feature to disable it. Some of the information Blue Mail uses to communicate with your device - like its IP address - can be used to approximate the device's location. This information may be used to administer, analyze and improve Blue Mail.