Wie man Apps überwacht, die einen überwachen wollen

iPhone und iPad liefern einen Daten­schutz­bericht für alle instal­lier­ten Apps. Er auf schlüs­sige Weise, welche Daten eine App sammelt, wie häufig sie das tut und mit welchen Servern sie kom­mu­ni­ziert. Diese Infor­ma­tionen helfen, die Privat­sphäre effektiv zu schützen.

Apple hat mit dem letzten grossen Betriebssystem-Update fürs iPhone und iPad (iOS 15 und iPad OS 15) eine Funktion eingeführt, die es einem erlaubt, die Tracking-Aktivitäten von Apps im Auge zu behalten.

Diese Funktion findet sich in den Einstellungen bei Datenschutz > App-Datenschutzbericht. Ich habe sie vor einem halben Jahr ausführlich im Blogpost Wer will schon wieder hinter meinem Rücken zu Google und Facebook verbinden? vorgestellt und damals kritisiert, dass Apple zwar die Daten über die Aktivitäten der Apps erhebt, aber keine Auswertung vornimmt.

Wenn man sich nicht mit einem Texteditor durch eine JSON-Datei kämpfen wollte, musste man sich die App eines Drittherstellers besorgen und die Daten umständlich an diese weitervermitteln.

Nun, dieser Missstand ist behoben:

Die Übersicht zeigt Zugriff auf Sensoren, interne Daten und das Internet.

Bereits mit iOS 15.2 und iPad OS 15.2 hat Apple die Analysefunktion nachgereicht. In der Rubrik App-Datenschutzbericht gibt es nun eine schlüssige Auflistung der Aktivitäten. Die ist in vier Rubriken gegliedert:

Zugriff auf Daten und Sensoren zeigt, welche App den Standort, Kontakte, die Fotomediathek, Kamera und Mikrofon und die Mediathek (für Musik und Hörbücher) abgefragt haben. In der Übersicht sieht man den Zeitpunkt des letzten Zugriffs, aber in der detaillierten Auswertung ist jeder einzelne Zugriff auf einige Wochen zurück ersichtlich.

Was tut diese App? Und wie oft?

Facebook greift ständig auf meine Foto-Mediathek zu, obwohl ich nie direkt Fotos daraus poste.

Das verrät nicht nur, was eine App tut, sondern macht auch klar, wie oft sie es tut. Das ist eine handfeste, nützliche Information – denn wenn eine App ständig den Standort abfragt, obwohl sie nichts Erkennbares mit diesem Datenpunkt anfängt, dann ist die Vermutung gross, dass hier Daten auf Vorrat gesammelt und allenfalls auch verkauft werden. Wenn man nicht sehr an der App hängt, dann scheint es mir empfehlenswert, sie ohne Bedauern zu löschen.

Unter App-Netzwerk-Aktivität sieht man die Zugriffe aufs Internet. In der Übersicht sieht man die Zahl der Zugriffe, die nicht per se aussagekräftig ist. Für Firefox sind viele Einträge geloggt, was natürlich daran liegt, dass ich diesen Browser ständig zum Surfen verwende.

In der Detailansicht sieht man die kontaktierten Domains. Hier ist für Firefox google.com gut vertreten, weil ich viele Suchanfragen gestartet habe. Allerdings ist in der Liste auf Platz zwei die Domain sentry.io zu finden, die ich selbst nicht aufgerufen habe. Eine Recherche ergibt, dass Sentry eine Plattform zur Anwendungsüberwachung betreibt, die «Entwicklern hilft, die Leistung ihres Codes zu optimieren».

Auch du, Mozilla?

Das ist ein klares Anzeichen dafür, dass Mozilla bei Firefox intensiv Nutzerdaten erhebt – was meines Erachtens nur schlecht mit dem Image in Einklang zu bringen ist, das sich die Stiftung selbst gibt. Nämlich, dass Mozilla zu den Verteidigern der Privatsphäre im Netz gehört.

Discord (Heute wird hier Zwietracht gesät) steht verdächtig weit oben in der Liste, obwohl ich die App nur sporadisch nutze. Auch bei Discord findet sich sentry.io weit oben in der Liste. Wiederum steht der Verdacht im Raum, dass über Gebühr Nutzerdaten gesammelt werden.

Die Domains, die mein Blog hier aufruft.

Unter Website-Netzwerkaktivität ist zu sehen, welche Domains einzelne Websites aufrufen. Hier ist auch Clickomania vorzufinden. Meine Website kommuniziert mit public-api.wordpress.com, was daran liegt, dass ich die WordPress-Erweiterung Jetpack nutze (Höhenflug oder Bruchlandung?).

Ausserdem findet sich Gravatar in der Liste, jener Dienst, der bei den Kommentaren und meinem Blogposts das Porträtbildchen anzeigt. Und da die Website Schriften verwendet, die von Google bereitgestellt werden, erscheint auch fonts.googleapis.com in der Auflistung.

Sperren und blockieren

Auch diese Informationen hier sind aufschlussreich. Man erfährt einerseits, welche Dienste auf einer Website eingebunden sind. Andererseits erhält man genau die Informationen, die man benötigt, um einzelne Sites über einen Werbeblocker (Weniger ist auch mobil mehr) oder einen DNS-Dienst wie NextDNS (Die Firewall für die ganze Familie) zu sperren.

Übrigens zeigt das iPhone auch, über welche Apps man diese Websites aufgerufen hat. Im Fall von Clickomania ist das bei mir nicht nur Firefox, sondern auch Linkedin und Twitter.

Googles Firebase ist omnipräsent

Jedes noch so popelige Game sammelt Nutzerdaten via Google Firebase.

Abschliessend findet sich die Rubrik Am meisten kontaktierte Domains. Die ist besonders aufschlussreich: Sie zeigt die über alle Apps und Websites aufsummierten Netzwerk-Aktivitäten an. Auf Platz eins steht bei mir inappcheck.itunes.apple.com. Was genau die tut, kann ich nicht sagen, aber es ist naheliegend, dass sie mit dem App-Store von Apple in Zusammenhang steht. Es könnte um In-App-Käufe gehen – oder aber um die Prüfung auf Updates.

Auf Platz zwei steht firebaseinstallations.googleapis.com und auf Platz drei firebaselogging-pa.googleapis.com. Das kommt nicht von ungefähr: Wie schon im Beitrag App Tracking: Es ist noch viel, viel schlimmer ausgeführt, ist Googles Firebase-Modul extrem weit verbreitet und fast in jeder App integriert. Wenn man diese beiden Adressen sperrt, verbessert man seine Privatsphäre massiv. Ich tue das über NextDNS.com.

Alle diese Apps wollen mit Facebook kommunizieren – ob mir das nun gefällt oder nicht.

Und – wenn wundert es? – auch Mark Zuckerberg hat es in die Top fünf geschafft. Er steht mit graph.facebook.com auf dem fünften Platz. «Die Graph API ist die gängigste Methode, mit der Apps Daten in den Facebook Social Graph schreiben und davon auslesen», kann man in der Dokumentation für Entwickler nachlesen.

Obwohl ich keinen Wert darauf lege, dass das Dritt-Apps tun, wird diese Schnittstelle auch auf meinem iPhone fleissig verwendet. Wenn man den Link antippt, sieht man auch genau, welche Apps das tun. Es sind die üblichen Verdächtigen, nämlich Free-to-Play-Spiele wie Mechat (Tinder für Vampire) oder Homescapes (Ein banales Spielprinzip, das in den App-Stores Milliarden generiert), aber auch Instagram, Strava oder Teleboy.

Unverzichtbar für jede selbstbestimmte Nutzerin

Fazit: Diese Auswertung – so gut versteckt und so unscheinbar sie auch daherkommt – ist enorm nützlich für selbstbestimmte Nutzerinnen und Nutzer von iPhone und iPad, die wissen wollen, was Apps hinter ihrem Rücken treiben. Sie zeigt genau auf, wie gross das Interesse einzelner Apps an persönlichen Daten ist. Was genau die Apps mit den erhobenen Informationen anstellen, bleibt zwangsläufig im Dunkeln. Aber dennoch lässt sich in vielen Fällen recht gut abschätzen, ob die Sammelleidenschaft und der gefühlte Nutzen für den Anwender im Einklang steht oder eben nicht.

Falls das nicht der Fall ist, gibt es genau zwei Möglichkeiten: Nämlich, Domains zu sperren und Apps zu löschen.

Beitragsbild: Wer bei seinem Schlafzimmer die Vorhänge zuzieht, der sollte auch etwas für die Privatsphäre am Smartphone tun (Justin Schüler, Unsplash-Lizenz).

Autor: Matthias

Computerjournalist, Familienvater, Radiomensch und Podcaster, Nerd, Blogger und Skeptiker. Überzeugungstäter, was das Bloggen angeht – und Verfechter eines freien, offenen Internets, in dem nicht alle interessanten Inhalte in den Datensilos von ein paar grossen Internetkonzernen verschwinden. Wenn euch das Blog hier gefällt, dürft ihr mir gerne ein Bier oder einen Tee spendieren: paypal.me/schuessler

Kommentar verfassen