Mapstr: die Adress-Sharing-App, die Ihren Namen und Ihre Geolokalisierung preisgibt

Apps, die Sie geolokalisieren, verdienen besondere Aufmerksamkeit

Veröffentlicht von Pixel de Tracking am 1. März 2020

Apps, die Sie geolokalisieren: ein erhebliches Risiko für die Privatsphäre

Wenn Tracking durch Unternehmen, von denen Sie noch nie gehört haben, im Web allgegenwärtig ist, lässt es sich immerhin begrenzen:

  • Über einen Browser mit Schutzmaßnahmen wie Safari, Firefox oder Brave
  • Über einen Adblocker wie ublock origin
  • Durch Blockieren von Drittanbieter-Cookies oder regelmäßiges Löschen der Cookies
  • Durch Nutzung des privaten Surfens

Bei Apps ist das deutlich schwieriger. Es gibt zwar Optionen, aber sie sind schwer einzurichten (siehe Installation eines spezialisierten VPN unter iOS). Apple und danach Google haben mit ihren jeweiligen App Stores die Büchse der Pandora geöffnet, indem sie App-Entwicklern Zugriff auf sehr persönliche Daten ermöglichen (Geolokalisierung, Mikrofon, Kontakte usw.).

Dieser Zugriff ist sehr oft legitim (Instagram braucht Zugriff auf Ihre Kamera, um zu funktionieren; Google Maps ist nützlicher, wenn es Zugriff auf Ihre Geolokalisierung hat usw.), und Sie können auch entscheiden, ob eine App auf eine Datenkategorie zugreifen darf oder nicht (zum Beispiel Geolokalisierung). Was Sie aber vermutlich nicht wissen: Diese Informationen können an Drittunternehmen weitergegeben werden (über SDKs, also Code von Drittunternehmen, der direkt in der App installiert ist, das Äquivalent zu JavaScript-Code von Dritten in Webanwendungen).

Ihre Geolokalisierung ist ein sehr sensibles Datum. Wer sie kennt, kann Ihr Leben nachzeichnen: wo Sie schlafen, wo Sie arbeiten, wohin Sie sich bewegen usw. Lesen Sie dazu diese hervorragende Recherche der New York Times, die auf einem gigantischen Datenleck bei einem Händler personenbezogener Daten basiert (12 Millionen Amerikaner, darunter Donald Trump).

Ein Beispiel mit Mapstr, einer Adress-Sharing-App

Um zu überprüfen, wie die von mir genutzten Apps meine Privatsphäre respektieren, habe ich mir die Anfragen angesehen, die die Mapstr-App auf meinem iPhone sendet. Mapstr ist eine französische App, mit der ich gute Restaurant- und Baradressen auf einer Karte speichern kann; außerdem kann ich auf die Tipps meiner Freunde zugreifen.

Zunächst einmal ist es nicht so einfach, die von einer App gesendeten Anfragen zu auditieren wie im Browser eines Computers. Ich musste dafür Charles Proxy verwenden, eine kostenpflichtige App (9,99 Euro), die als internes VPN fungiert, um die von Ihrem Smartphone gesendeten Anfragen abzufangen. Das war mein Protokoll:

  • Die verschiedenen Apps im Hintergrund schließen
  • Die App Charles Proxy starten und die Aufzeichnung aktivieren
  • Mapstr starten und in der App navigieren
  • Anschließend das Log der Sitzung exportieren, wenn Sie es komfortabler auf Ihrem Computer untersuchen möchten (die Charles-Proxy-App für Computer ist in der Basisversion kostenlos)
  • Die Domains der gesendeten Anfragen ansehen, das ist aufschlussreich

tracking_mapstr

Mehrere Überraschungen:

  • Mapstr sendet zahlreiche Anfragen an Facebook (ohne meine Geolokalisierung). Facebook bietet Apps viele Dienste an; es ist schwierig zu wissen, welchen Dienst Mapstr nutzt (hier die verschiedenen Methoden, die die Graph API von Facebook anbietet; es scheint jedoch, dass Mapstr die Analytics-Dienste von Facebook nutzt, ich sehe Events wie „activities“ und „user_properties“ vorbeigehen). Meine Mapstr-Navigation reichert die Informationen an, die Facebook über mich besitzt (auch wenn ich in diesem Fall kein Facebook-Konto habe). Problem: Ich habe nie eingewilligt, dass Facebook mich auf Mapstr trackt.
  • Mapstr sendet meine Geolokalisierung an Kapten und Citymapper. Warum? Wenn man in der App tiefer gräbt, kann man Mapstr nach der Route zu einer Adresse fragen; Mapstr zeigt dann an, wie lange die Fahrt mit Uber, Kapten oder über Citymapper und Google Maps dauert. Problem: Mapstr sendet meine Geolokalisierung an diese Unternehmen, ohne dass ich die Route anfrage; die App könnte damit warten. Es scheint allerdings, dass in diesen Anfragen kein Identifikator mitgesendet wird, der Informationsabfluss ist also begrenzt (zumal ich diese Apps tatsächlich installiert habe).
  • Schwerwiegender: Mapstr sendet zahlreiche Informationen, darunter meine Geolokalisierung, meinen Namen und meine E-Mail-Adresse, an Amplitude. Meine persönlichsten Daten werden also zusammen mit meinem Namen an ein amerikanisches Unternehmen gesendet, zu dem ich keinerlei Beziehung habe. Welches Interesse hat Mapstr daran? Amplitude ist eine Analytics-Lösung, die weder meinen Namen noch meine E-Mail-Adresse noch meine Geolokalisierung braucht, um korrekt zu funktionieren.

Beachten Sie, dass ich zuvor in den iOS-Einstellungen angegeben hatte, dass ich eingeschränktes Werbe-Tracking wünsche (aber Mapstr berücksichtigt das nicht).

eingeschränktes Werbe-Tracking

Um all diese personenbezogenen Daten zu übertragen, braucht Mapstr meine Einwilligung, die das Unternehmen offenbar vergessen hat.

Die Einwilligungsverwaltung bei Mapstr

Wenn Sie die Mapstr-App installieren, werden Sie mit diesem Bildschirm begrüßt

Start_Mapstr

Ganz klein können Sie lesen: „Mit Ihrer Registrierung akzeptieren Sie unsere Nutzungsbedingungen“. Natürlich klickt niemand darauf, trotzdem liest man dort Folgendes:

Mapstr behält sich das Recht vor, verschiedene namentliche und nicht namentliche Daten zu sammeln, insbesondere durch die Erhebung von Cookies, zur Verbesserung der Kundenerfahrung und der Ergonomie der Anwendung und der Dienste, für statistische Analysen und zur Personalisierung der Dienste.

Es geht hier also um Analytics und namentliche Daten. Aber Mapstr sagt nicht, dass es diese namentlichen Daten an einen Dritten (Amplitude) sendet und diesem auch Ihre Geolokalisierung übermittelt.

Nachdem Sie ein Konto erstellt haben, können Sie auf die Datenschutzerklärung zugreifen, die auf Englisch verfasst ist. Dort steht:

  • Mapstr nutzt Ihre Daten unter anderem zu Statistikzwecken („um Statistiken zu erstellen“) und zur Verbesserung der App („um unseren Dienst zu verbessern“).
  • Die Rechtsgrundlage ist die Annahme der berühmten Nutzungsbedingungen.
  • Die aufgelisteten gesammelten Daten sind: „Ihr Vorname, Nachname, gegebenenfalls Ihr Facebook-Benutzername, Ihr Profilbild, der Name Ihrer Freunde sowie Ihre Sprache und Ihr Land.“ In Wirklichkeit übermitteln Sie an Mapstr und Amplitude zahlreiche weitere Informationen, insbesondere Ihre Geolokalisierung, aber auch Ihren Mobilfunkanbieter, Ihr Smartphone-Modell usw.
  • Wer ist Empfänger Ihrer Daten? Auch hier bleibt Mapstr sehr vage und gibt weiterhin nicht an, dass bestimmte personenbezogene Informationen an Dritte übermittelt werden: „Wir verkaufen Ihre personenbezogenen Daten nicht weiter. Das Geschäftsmodell der Mapstr-Anwendung beruht keineswegs auf dem Verkauf Ihrer personenbezogenen Daten an Dritte. In diesem Sinne sind die einzigen Personen, die zur Nutzung Ihrer Daten berechtigt sind, die Mitarbeiter von Hulab im Rahmen Ihrer Nutzung der Mapstr-Anwendung.
  • Werden Ihre Daten außerhalb der Europäischen Union übertragen? Hier ist die Lüge eindeutig: Mapstr gibt an, Ihre Daten nicht außerhalb der Europäischen Union zu übertragen: „Keine Ihrer Daten wird außerhalb der Europäischen Union übertragen, und unsere Server befinden sich auf dem Gebiet der EU.“ Facebook und Intercom sind amerikanische Unternehmen.

Handelt es sich um Nachlässigkeit von Mapstr? Wahrscheinlich. Aber ohne Sanktionen durch die CNIL ist der Druck gering, die Privatsphäre der Internetnutzer zu respektieren. Was passiert bei anderen Apps, die Ihre Geolokalisierung brauchen?

Ein weiterer Test mit Citymapper

Nach dem Test von Mapstr wollte ich sehen, wie Citymapper meine personenbezogenen Daten verwaltet, da ich die App regelmäßig für meine Wege nutze. Über Charles Proxy sieht man hier die Domains der gesendeten Anfragen

Anfragen_Citymapper

Mehrere Tracker sind weiterhin vorhanden:

  • Crashlytics ermöglicht das Monitoring von Bugs und App-Abstürzen; dieses Tool gehört Google (das es von Twitter übernommen hatte)
  • Google, für seinen Dienst Google Maps
  • Amplitude, das bereits bei Mapstr gesehene Analytics-Tool
  • Mixpanel, ein Analytics-Tool ähnlich wie Amplitude
  • Flurry, ein weiteres Analytics-Tool, das Yahoo gehört (und damit Verizon)

Diese Unternehmen tracken Sie ebenfalls, wenn Sie Citymapper nutzen, ohne Ihre Einwilligung. Wenn man sich jedoch die Details der gesendeten Anfragen ansieht (insbesondere an Amplitude), sendet Citymapper weder Ihre Geolokalisierung noch Ihren Namen oder Ihre E-Mail-Adresse. Ein störendes „Detail“: Citymapper sendet ein Event „In Drunk Mode“ an Mixpanel und Amplitude (angeblich würde der Nach-Hause-Button größer angezeigt, wenn Sie zu viel getrunken haben):

Citymapper_Mixpanel_Drunk_mode Das an Mixpanel gesendete Event, personenbezogene Identifikatoren wurden entfernt, und ich bin nicht betrunken.

Wie machen sie das? Vielleicht basiert es nur auf der Uhrzeit, aber es ist nicht beruhigend, diese Information an Drittunternehmen zu senden.