Klingeltür-App für Android schickt abgefangene Benutzerdaten an Facebook

Die Video-Türglocke im Besitz von Amazon verwendet Tracker von Drittanbietern, um den Vermarktern reichhaltige Daten zu liefern, ohne die Benutzer sinnvoll zu benachrichtigen.

Amazons Klingelanwendung für Android ist ein Nexus für das Daten-Harvesting, wie eine Untersuchung der Electronic Frontier Foundation (EFF) ergab. Die Befürworter des Datenschutzes behaupten, dass Ring so weit geht, dass er Aktualisierungen über die Nutzung von Ring-Kunden stillschweigend an Facebook liefert, selbst wenn der Besitzer von Ring kein Facebook-Konto hat.

"Ring ist nicht nur ein Produkt, das es den Nutzern erlaubt, ihre Nachbarn zu überwachen", sagte Bill Budington von der EFF in einem am Montag veröffentlichten Posting zu den Ergebnissen. "Das Unternehmen nutzt ihn auch, um seine Kunden zu überwachen."

Die EFF führte eine dynamische Analyse der mobilen Anwendung Ring for Android (Version 3.21.1) mit dem Tool "mitmproxy" durch, das auf einem mit der Türklingel verbundenen Wi-Fi-Zugangspunkt läuft. Das Proxy-Tool war in der Lage, HTTPS-Flüsse zu und von dem Gerät abzufangen und zu analysieren, erklärte Budington. Und um "Rauschen" zu entfernen, das von anderen Anwendungen im Wi-Fi-Netzwerk erzeugt wird, wurde die Firewall-App AFWall+ verwendet, um den Netzwerkverkehr vom Testgerät zur mobilen Anwendung zu isolieren.

Zu den gesammelten Informationen gehören persönlich identifizierbare Informationen (PII), Geräte- und Trägerdaten, eindeutige Identifikatoren, die es Unternehmen ermöglichen, Benutzer über verschiedene Anwendungen hinweg zu verfolgen, Echtzeitdaten über Benutzerinteraktionen mit der Anwendung und Informationen über das Heimnetzwerk eines Benutzers. EFF beobachtete die Informationen, die an drei Hauptdatenanalyse- und Marketingunternehmen (Branch, MixPanel und AppsFlyer) sowie an Facebook gesendet wurden.

Ein Ring-Sprecher sagte gegenüber Threatpost: "Wie viele Unternehmen nutzt Ring Drittanbieter, um die Nutzung unserer mobilen Anwendung zu bewerten, was uns dabei hilft, die Funktionen zu verbessern, die Kundenerfahrung zu optimieren und die Wirksamkeit unseres Marketings zu bewerten. Ring stellt sicher, dass die Nutzung der bereitgestellten Daten durch die Dienstanbieter vertraglich auf angemessene Zwecke wie die Durchführung dieser Dienste in unserem Namen und nicht für andere Zwecke beschränkt wird.

Die Ergebnisse waren signifikant. Es wurde beobachtet, dass die Türklingel eine Reihe von privaten Informationen aus der Ring-App über Tracker von Drittanbietern verschickte. Facebook beispielsweise sammelt in Echtzeit Daten zur Benutzerinteraktion und eine eindeutige Kennung, mit der die Aktivitäten der Ring-Benutzer bei ihrer Bewegung im Web verfolgt werden können.

"Facebook wird über seine Grafik-API beim Öffnen der Anwendung und bei Geräteaktionen, wie z.B. der Deaktivierung der Anwendung nach einer Bildschirmsperre aufgrund von Inaktivität, benachrichtigt", schrieb Budington. "An Facebook gelieferte Informationen (auch wenn Sie kein Facebook-Konto haben) umfassen Zeitzone, Gerätemodell, Sprachpräferenzen, Bildschirmauflösung und eine eindeutige [Tracking-]Kennung (anon_id), die auch dann bestehen bleibt, wenn Sie die Inserenten-ID auf Betriebssystemebene zurücksetzen.

Die anderen drei Unternehmen erhalten ihre eigenen individuellen Datenkompendien. So erhält die Niederlassung beispielsweise eindeutige Kennungen für die Ring-Hardware (device_fingerprint_id, hardware_id, identity_id) sowie die lokale IP-Adresse, das Modell, die Bildschirmauflösung und die DPI des Geräts.

AppsFlyer wird benachrichtigt, wenn ein Benutzer mit dem Abschnitt "Neighbors" der mobilen Anwendung interagiert, die EFF entdeckt hat. Neighbors ist die Nachbarschaftsüberwachung von Ring, die es den Benutzern ermöglicht, innerhalb eines Radius von fünf Meilen Warnungen über Verbrechen und Sicherheitsvorfälle zu senden und zu empfangen. AppsFlyer empfängt auch Sensordaten von jedem mobilen Gerät, auf dem die Ring-App installiert ist, einschließlich Informationen vom Magnetometer, Gyroskop und Beschleunigungsmesser. Und es empfängt Informationen über den Mobilfunkbetreiber, wann der Ring installiert und zum ersten Mal gestartet wurde, und, wie Branch, eine Reihe von eindeutigen Identifikatoren für das Ring-Gerät selbst.

MixPanel erhält die meisten Informationen, die EFF gefunden hat. Dazu gehören der vollständige Name des Benutzers, seine E-Mail-Adresse, Geräteinformationen wie Version und Modell des Betriebssystems, ob Bluetooth aktiviert ist, und Anwendungseinstellungen wie die Anzahl der Ring-Positionen, die ein Benutzer hat.

Alle vier Unternehmen erhalten laut EFF genügend Informationen, damit ein Vermarkter damit beginnen kann, ein reichhaltiges Profil eines Verbrauchers zu erstellen, das dann über andere Tracker und Cookies verbessert werden kann, wenn die Nutzer mit Websites und anderen mobilen Anwendungen interagieren.

"Die Gefahr beim Senden selbst kleiner Informationsbits besteht darin, dass die Analyse- und Tracking-Firmen in der Lage sind, diese Bits zu kombinieren, um ein einzigartiges Bild vom Gerät des Benutzers zu erhalten", erklärte Budington. "Dieses zusammenhängende Ganze stellt einen Fingerabdruck dar, der dem Benutzer bei der Interaktion mit anderen Anwendungen und bei der Nutzung seines Geräts folgt, wodurch Tracker im Wesentlichen in der Lage sind, auszuspähen, was ein Benutzer in seinem digitalen Leben tut und wann er es tut.

Anzeige

Anzeige