App Tracking: Es ist noch viel, viel schlimmer

Mithilfe der Exodus-Datenbank erfährt man mehr über die Art und Weise, wie Apps uns tracken. Und die Erkenntnis ist: Google steckt einfach überall.

Das Tracking im Netz ist ein konstantes Übel: Es kann nicht angehen, dass jegliche Daten über uns Nutzer gesammelt werden, nur weil das möglich ist. Es braucht eine Abwägung zwischen dem Bedürfnis dieser Nutzer, nicht zum gläsernen Surfer zu werden und berechtigten Anspruch der Betreiber, zumindest grundlegende Kenntnisse der Nutzer-Interessen zu haben.

Um dieses Thema ging es gestern im Beitrag Zur Hölle mit dem User Journey Mapping. Heute gibt es einen Nachtrag in Form eines Hinweises auf eine Website, die uns Nutzern hilft, uns ein Bild darüber zu verschaffen, wie gross das Interesse einer App an uns Nutzern und unseren Verhaltensweisen ist.

Die Website heisst Exodus und ist nach eigenen Angaben eine privacy audit platform for Android applications, also eine Plattform, auf der Android-Apps dahingehend überprüft werden, wie sie mit der Privatsphäre der Nutzer verfahren. Und ja: Diese Website hätte das gestern hier verlinkte Video wunderbar abgerundet. Doch ich habe erst nachträglich davon erfahren, weil @kubikpixel mich in anderem Zusammenhang auf sie aufmerksam gemacht hat. Aber das Denken in abgeschlossenen Blogposts ist sowieso veraltet – oder nicht?

Was treiben diese Apps im Geheimen?

Exodus ist eine Datenbank, in die man den Namen einer App einträgt und dann einen Bericht erhält, der zwei Dinge ausweist.

  • Erstens die Berechtigungen, die eine App anfordert. Die Berechtigungen teilt einem auch das Betriebssystem mit, allerdings längst nicht so detailliert.
  • Zweitens die eingebetteten Tracker. Die sind dazu da, Daten zum Nutzer zu sammeln und zu analysieren, wie er die App nutzt: Wie oft, mit welchen Funktionen, etc. Es dürfte so sein, dass in manchen Apps mehr oder weniger jede Interaktion aufgezeichnet wird.

Umgekehrt kann man auch die bekannten Tracker einsehen und sie beispielsweise nach Verbreitungsgrad sortieren. Man erfährt, dass Google Firebase Analytics in 49 Prozent aller getesteten Apps steckt – oder in absoluten Zahlen in 39’237 Apps. (Was nebenbei aufzeigt, dass in Exodus längst nicht alle im Store befindlichen Apps verzeichnet sind. Aber die wichtigen Apps findet man natürlich.)

Exodus liefert eine Kurzbeschreibung und verlinkt auf die Website des Tracker-Anbieters. Im Fall von Google Firebase Analytics, auf diesen Link hier.

Die Frage ist eher, was Google Firebase Analytics eigentlich nicht tut.

Wenn man sich hier die Funktionen des Trackers ansieht, ist man beeindruckt, was der alles tut:

Er sammelt Daten über Crashes, führt Nutzer-Authentifizierung durch, liefert Cloud-Speicher, überwacht die Leistung der App, ermöglicht A/B-Tests und liefert Dinge wie «intelligente Benutzersegmentierung basierend auf vorhergesagtem Verhalten».

Das ist beeindruckend – und unter uns gesagt auch schockierend. Denn gerade dieser letzte Punkt, die Vorhersagen, lässt keinen Zweifel daran, dass dieser Tracker sehr genau hinschaut, was wir in den Apps tun. Da muss man sich keinen Illusionen hingeben: Google weiss verdammt genau, was wir in einer App treiben.

Und eben, da ist der Verbreitungsgrad von 49 Prozent über alle Apps gesehen. Interessant wäre natürlich zu wissen, wie viele von den Apps, die man installiert hat, diesen Tracker nutzen. Praktisch wäre eine automatische Analyse, bei der Exodus selbst alle installierten Apps überprüft und konsolidierte Resultate anzeigt. Aber wenn man Genaueres wissen will, muss man etwas Handarbeit leisten.

Google steckt überall

Das habe ich getan. Ich habe nicht alle meine Apps geprüft, mir aber die Mühe gemacht, die zehn Apps anzuschauen, die ich laut Bildschirmzeit am iPhone am häufigsten nutze. Und bei denen sieht das Resultat wie folgt aus:

Vorhanden ist Google Firebase Analytics in X Apps: In Twitter, Pocket Casts, Homescapes, Microsoft Solitaire Collection, Netflix, Firefox und Jumanji Epic Run.

Microsoft stopft alles an Trackern in seine Solitaire-App, was nur irgendwie geht.

Mein Lieblings-Solitär, Microsoft Solitaire Collection (siehe hier) verwendet übrigens geschlagene 26 Tracker und ist der Sieger in dieser kleinen Analyse.

Und bevor ihr fragt: Ja, ich habe auch ein paar Apps angeschaut, die in meiner Bildschirmzeit-Auflistung weiter hinten auftauchen, für mich aber trotzdem wichtig sind. Zum Beispiel Spotify: Die App nutze ich meistens via Connect, weswegen sie in Apples Analyse unterrepräsentiert ist. Und ja, auch Spotify nutzt Firebase Analytics. Ebenso wie eine andere App, die ich vor allem im Hintergrund betreibe. Das ist Audible. Und dreimal dürft ihr raten. Antwort: Ja, natürlich.

Beruflich nutze ich Slack häufig – mit Firebase Analytics. Täglich im Einsatz: Meteo Swiss, mit dem Tracker. SBB Mobile: Mit.

Und ja, eine Enttäsuchung ist, dass Firefox den Google-Tracker benutzt. Das passt nicht ins Bild der Organisation, die sich dem Schutz der Privatsphäre der Nutzer verschrieben hat. Der Brave-Browser (Der König der Tiere unter den Browsern) nutzt keine bekannten Tracker.

Nicht vorhanden ist Firebase Analytics in Facebook, WhatsApp und Google Docs.

Es fällt allerdings auf, dass Facebook nebst den eigenen Trackern (Ads, Audience, Notifications, Places, Share) auch Google Analytics nutzt: Google erfährt somit auch einiges über alle Facebook-Anwender. Und: Google Analytics ist auch in Whatsapp und in Google Docs eingebaut.

Und, ganz ohne Tracker, kommt die SwissCovid-App aus. Bravo!

Nicht gefunden habe ich in der Datenbank das Spiel Agent Dash; und es daher in dieser kleinen Auswertung nicht berücksichtigt.

Auch wenn diese kleine Auswertung natürlich nur eine bedingte Aussagekraft in Anspruch nehmen kann, so scheint mir die Aussage zulässig, dass die Verbreitung bei den grossen und populären Apps überproportional ist.

Klar: Das sind auch die Apps, hinter denen ein kommerzielles Interesse steckt. Und da sind die Trackingbemühungen im Schnitt grösser als bei den Apps, die ein einzelner Entwickler, vielleicht sogar in seiner Freizeit pflegt. Das ist auch beim Tracking im Web der Fall: Auf den grossen, viel besuchten Websites wird man mehr getrackt als bei den kleinen, privaten Blogs.

Die Erkenntnis ist, dass in sämtlichen Apps, die ich häufig nutze, ein Google-Tracker steckt. Ich wiederhole: In allen Apps, die für mich wichtig sind, hockt Google – und zwar ohne explizite Deklaration. Mir war das jedenfalls nicht bewusst.

Und damit sind wir an dem Moment angelangt, an dem ich zum zweiten Mal schreibe, dass man sich keine Illusionen machen sollte.

Nein, denn natürlich ist Google in der Lage, die Daten aus den einzelnen Apps in einen grossen Pool zu werfen und zu Nutzerprofilen zu verdichten.

… kurzer Einwand: Ich habe bei Google diesbezüglich eine Anfrage unterbreitet und inzwischen auch eine Antwort erhalten. Die besagt, dass die Nutzer des Analytics-Moduls «die vollständige Kontrolle darüber behalten, wie oder ob sie diese Daten verwenden». Google würde nur Einsicht erhalten, wenn die Entwickler sich entscheiden, Daten mit Google zu teilen. Was das nun konkret heisst, bleibt schwierig zu beurteilen – zumal ich nicht weiss, wie viele Entwickler Google an den Daten teilhaben lassen – und ob Google nicht indirekte Erkenntnisse gewinnen kann. Ende des Einwands.

Mit diesen Trackingmöglichkeiten entsteht ein klares Bild, was wir alle den lieben langen Tag an unseren Handys tun. Und wenn man bedenkt, dass diese Daten auch mit unseren Gewohnheiten beim Surfen kombiniert werden können, ist der Fall klar: Es bleibt keine Frage offen.

Nur eine: Wollen wir das so zulassen?


FAQ

Abschliessend noch zwei diskussionswürdige Punkte:

Wie erhebt Exodus die Daten? Und wie zuverlässig sind sie? Das dürfte Exodus meines Erachtens noch genauer erklären. Ich habe es so verstanden, dass der Programmcode der Apps auf die Muster der bekannten Tracker hin untersucht wird. Eine Fehlerkennung könnte möglich sein, scheint mir aber wenig wahrscheinlich.

Die Untersuchung bezieht sich auf Android-Apps. Lässt sie sich auf iOS-Apps übertragen? Ich würde vermuten, dass die Untersuchung bei Android-Apps einfacher ist, weil die leichter zugänglich sind. Eine Überprüfung wäre sicherlich auch bei iPhone- und iPad-Apps möglich, aber mutmasslich umständlicher. Ich gehe davon aus, dass es je nach App gewisse Unterschiede bei der Tracking-Verwendung geben wird, die Resultate im Grossen und Ganzen aber vergleichbar sind. Denn wenn ein Entwickler für Android und iOS entwickelt, möchte er seine gesamte Nutzerschaft analysieren können, nicht nur die User einer Plattform.

Sind alle Tracker böse? Nein – und das erklärt Exodus in einem Blogpost auch. Es gibt ein berechtigtes Interesse für Tracker, zum Beispiel zur Fehlerbehebung. Auch die Analyse der Nutzung ist meines Erachtens zulässig, wenn sie summarisch und anonym erfolgt.

Wer steckt hinter Exodus? Das wird auf dieser Seite hier erklärt:

Exodus Privacy ist eine gemeinnützige Organisation, die von Hacktivisten geführt wird. Ihr Ziel ist es, Menschen ein besseres Verständnis der Probleme beim Tracking von Android-Anwendungen zu vermitteln.

Das erklärt ein bisschen etwas – aber natürlich würde man auch gerne noch mehr über die Finanzierung und die Leute hinter der Organisation erfahren.

Beitragsbild: Herr Google glotzt in jede App (Lianhao Qu, Unsplash-Lizenz).

Autor: Matthias

Computerjournalist, Familienvater, Radiomensch und Podcaster, Nerd, Blogger und Skeptiker. Überzeugungstäter, was das Bloggen angeht – und Verfechter eines freien, offenen Internets, in dem nicht alle interessanten Inhalte in den Datensilos von ein paar grossen Internetkonzernen verschwinden. Wenn euch das Blog hier gefällt, dürft ihr mir gerne ein Bier oder einen Tee spendieren: paypal.me/schuessler

2 Gedanken zu „App Tracking: Es ist noch viel, viel schlimmer“

Kommentar verfassen