Datensammler Smartphones: So stehlen neugierige Apps private Daten

Als eindeutige Device-ID wird bei Apple meist die UDID verwendet. Das ist eine eindeutige Nummer, die jedes iPhone oder iPad bekommt. Unter Android wird meist die IMEI übermittelt. Ein Advertising-Network wie Mobclix oder ein Nutzungsanalysedienst wie Flurry kann mit dieser Nummer zunächst keine persönlichen Daten wie Name und Adresse ermitteln, es sei denn, sie schnüffeln auch im Adressbuch oder anderen geeigneten Daten auf dem Mobiltelefon herum.

Es gibt aber durchaus auch andere Möglichkeiten. Beispielsweise können die App-Hersteller eine Registrierung verlangen, bei der persönliche Daten abgefragt werden. Das muss nicht unbedingt Name und Adresse sein, sondern es kann sich auch um allgemeinere Daten wie Alter und Geschlecht handeln. Diese Daten kann ein Dienst mit IMEI oder UDID verbinden.

Auch Apple oder ein Mobilfunkprovider kann eine Identifizierung durchführen. Für Apple ist es beispielsweise möglich festzustellen, welches iTunes-Konto üblicherweise von einer bestimmten UDID verwendet wird. Die transitive Kette sieht dann wie folgt aus:  UDID -> iTunes-Konto -> Name. Dasselbe gilt für Mobilfunkprovider. Meist steckt in einem Mobiltelefon dieselbe SIM-Karte, über deren Nummer (IMSI) der Nutzer identifiziert werden kann. Über IMEI -> IMSI -> Name und Adresse ist der Zusammenhang schnell hergestellt.

Bild 2: Unter Android sendet Flurry neben der IMEI viele Informationen über das verwendete Smartphone (Screenshot: ZDNet).
Bild 2: Unter Android sendet Flurry neben der IMEI viele Informationen über das verwendete Smartphone (Screenshot: ZDNet).

Wer mit Wireshark einen Blick auf Apps wirft, die Flurry verwenden, erkennt, dass unter Android neben der IMEI zahlreiche Konfigurationsinformationen über das Handy übermittelt werden. Bild 2 zeigt, dass die genaue Hardwareaustattung und die Betriebssystemversion an Flurry gesandt werden.

Etwas anders sieht es bei iOS aus. Da die Anzahl von iOS-Geräten überschaubar ist, müssen Daten wie die Bildschirmauflösung nicht übermittelt werden. Dafür sieht man in Bild 3, dass beispielsweise das Spiel "Paper Toss" auch die Zeitzone übermittelt. Da diese normalerweise automatisch gesetzt wird, lässt sich zumindest auf den Aufenthaltsort Deutschland schließen.

Bild 3: Unter iOS sendet das Spiel "Paper Toss" neben der UDID auch die Zeitzone an Flurry, aus der sich der Aufenthaltsort ungefähr bestimmen lässt (Screenshot: ZDNet).
Bild 3: Unter iOS sendet das Spiel „Paper Toss“ neben der UDID auch die Zeitzone an Flurry, aus der sich der Aufenthaltsort ungefähr bestimmen lässt (Screenshot: ZDNet).

Nicht immer werden UDID oder IMEI verwendet. Googles Advertising-Network AdMob sendet als eindeutige ID, die sogenannte ISU. Sie wird aus UDID oder IMEI berechnet, aber vor der Übertragung per MD5 gehasht, so dass keine Rückschlüsse mehr auf UDID beziehungsweise IMEI möglich sind.

Das hört sich im ersten Moment gut an, nützt aber im Zweifel jedoch wenig. Wer, auf welchem Wege auch immer, an UDID oder IMEI gekommen ist, kann einfach den MD5-Algorithmus darauf anwenden und den erhaltenen Wert mit der gehashten ISU vergleichen.

Themenseiten: Android, Big Data, Datenschutz, Handy, Mobile, Privacy, Security-Analysen, Smartphone, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Datensammler Smartphones: So stehlen neugierige Apps private Daten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *