Netzwerk
Netzwerk
Netzwerk
Netzwerk
Netzwerk

2020-01-16 5 Minuten

Firmen, von denen du noch nie gehört hast kennen deine sexuelle Orientierung.

Was haben die Firmen MoPub, Bucksense, OpenX, PubNative, Aarki, Liftoff, InMobil, Fyber, Mars Video, MobFox und AppNexus gemeinsam? Sie haben alle deine Daten.

Was haben die Firmen MoPub, Bucksense, OpenX, PubNative, Aarki, Liftoff, InMobil, Fyber, Mars Video, MobFox und AppNexus gemeinsam?

  1. Du hast wahrscheinlich noch nie von ihnen gehört
  2. Sie haben alle deine Daten

Ich sage dir, ich bin wieder einmal pissed. Nicht, weil ich mich durch 70 Seiten technischen Report gekämpft habe, sondern wegen den Ergebnissen in diesem Report.

Das Norwegian Consumer Council (NCC) hat eine groß angelegte Untersuchung von 10 Android-Apps in Auftrag gegeben. Die Ergebnisse sind erschreckend. Und werden hoffentlich Milliardenstrafen nach sich ziehen.

Den gesamten Report findest du auf derSeite des NCC. Dieser Artikel basiert zu einem sehr großen Teil auf den Findings des Reports.

Dieser Report ist viel zu entpacken. Ich fürchte, dass er aus diesem Grund nur in der Privacy-Bubble (der ich auch angehöre) seine Kreise ziehen wird, aber sonst wenig beachtet.

Das will ich vermeiden. Deshalb hier klipp und klar einige der Ergebnisse, bevor wir ins Detail gehen:

  • Die Gay-Dating-App Grindr sendet Informationen an 36 Ad-Firmen, 11 davon erhalten die GPS Koordinaten, 7 auch Userdaten. Kaum eine davon kennst du auch nur namentlich.
  • Die Live-Makeup-App Perfect365 teilt Informationen mit 72 Firmen. Kaum eine davon kennst du auch nur namentlich.
  • Die Periodentracking-App MyDays teilt Infos mit 6 Firmen, 3 davon erhalten deine GPS Koordinaten. Die andere Periodentracking-App Clue redet ebenfalls mit 6 Firmen, 0 davon erhalten deinen Aufenthaltsort.

Die untersuchten Apps

Die Researcher haben 10 Android-Apps untersucht:

Ein interessanter Querschnitt an Apps, die potenziell mehr Informationen besitzen als Username und E-Mail.

Alleine die Benutzung einer jeder dieser App lässt Rückschlüsse auf sexuelle Orientierung, Religion, Alter, Beziehungsstatus usw. zu.

Das Ergebnis der Analyse ist für mich nicht überraschend, aber dennoch erschreckend.

Hervorheben möchte ich im Folgenden drei Spalten:

  • Advertising: Die Anzahl der verschiedenen Firmen, mit denen die App kommuniziert hat
  • Ad ID: Die Android Advertising ID
  • GPS: Der Aufenthaltsort der User

Wie viele Firmen braucht man, um eine Werbung auszuspielen?

Hunderte, wie es scheint. Das sogenannte AdTech Ökosystem wurde schon mehrmals analysiert, nie mit positivem Ergebnis. Ein undurchsichtiges Netzwerk, in dem unsere Daten propagiert werden.

Und wir haben keine Ahnung, wo sie so herumschwirren.

Wenn wir eine App öffnen läuft in wenigen Millisekunden folgender Prozess (vereinfacht) ab:

  • Die App meldet, dass es einen verfügbaren Platz gibt, um Werbung auszuspielen.
  • Sie schickt die Android Advertising ID an einen – nennen wir es mal Makler – der versucht, diesen Platz mit einer Werbung zu füllen.
  • Hunderte Firmen starten nun eine Auktion (Real time bidding) um den verfügbaren Platz, damit genau ihre Werbung ausgespielt wird.
  • In diesem Prozess fließen Userdaten zu den jeweiligen Firmen.

Vereinfacht gesagt: Jedes Mal, wenn in einer App eine Werbung erscheint, haben potenziell hunderte Firmen dein persönliches Profil erhalten. Und auf Basis von diesem Profil ein Gebot abgegeben.

Das höchste Gebot gewinnt deine Aufmerksamkeit.

Es ist für mich unvorstellbar, wie viel Geld und Aufwand in dieses Ökosystem fließt, nur damit wir eine fucking Zahnbleich-Ad in unserer Taschenlampen-App kriegen.

Jetzt habe ich aber schon mehrmals diese ominöse Android Advertising ID erwähnt. Was ist das?

Ein Cookie, nur schlimmer

Im Prinzip ist die Android Advertising ID genau das: Eine Identifikationsnummer. Diese ist einzigartig, und kann dir zugeordnet werden.

Vergleichbar zu einem Cookie auf einer Webseite. Mit einem kleinen aber feinen Unterschied:

Das Cookie funktioniert nur für eine Domain. Heißt: Wenn Facebook ein Cookie setzt, kann nur Code, der von Facebook aus ausgeführt wird, das Cookie lesen.

Bei der Android Werbe ID ist dies anders. Sie wird oft einfach mitgesendet, und zwar von verschiedensten Apps.

Warum ist das ein Problem?

Es kann so über verschiedene Apps hinweg ein Profil erstellt werden. Im Beispiel oben hat App 1 zwar keine Informationen, dass ich auch App 2 verwende – die AdTech Firmen können jeodch über die ID ein Profil über meine gesamte Appnutzung erstellen.

Und das tun sie auch:

Grindr sendet beispielsweise mehrmals pro Minute die genaue Location, Geschlecht, Alter ins AdTech Ökosystem.

Dabei könnte alleine die Information darüber, ob Grindr verwendet wird, als sensibles Datum gelten – schließlich lässt sich daraus sehr wahrscheinlich die sexuelle Orientierung ablesen.

Genau das gleiche mit der muslimischen Quibla Finder App. Religiöse Überzeugung gilt als sensibles Datum.

Zuordenbarkeit

Eines muss man jedoch schon sagen: Der Name ist hier nirgends in den Daten enthalten, die herumgeschickt werden. “Nur” die Android Advertising ID schwirrt im Ökosystem herum.

Gut, den Namen braucht man auch nicht zum Targeting. Anonym ist man trotzdem nicht: Die Android Werbe ID kann natürlich einem Gerät oder einem Google Account zugeordnet werden.

Das erinnert mich an “Am i Unique”, eine Webseite, die dir sagt, wie einzigartig die Konfiguration deines Browsers ist.

Unter amiunique.org kannst du erfahren, wie einzigartig du zu identifizieren bist, ohne auch nur ein Cookie oder sonstige Daten preiszugeben. Fingerprinting nennt man das. Weil die Einstellungen eines jeden Gerätes fast so einzigartig sind wie unser Fingerabdruck.

So ist zum Beispiel die Liste der installierten Schriften auf meinem Rechner weltweit einzigartig:

Und dreimal darfst du raten, wer diese List abrufen kann?

Richtig.

Quasi jede Webseite dieser Erde.

Wie dagegen ankämpfen?

Das NCC hat nun gegen einige der Firmen Beschwerde eingelegt. Ich hoffe, dass es hier zu Strafen laut DSGVO kommen wird. Weil dafür sollte sie eigentlich da sein.

Nicht, das KMU um die Ecke zu drangsalieren, sondern genau, um solche intransparenten Systeme zu verhindern.

Ansonsten bleibt Konsumenten wenig Handhabe. Wenn man nicht hunderte Euro mehr für ein iPhone bezahlen will.

Ein anderes Internet

Dabei gäbe es sogar schon alternative Ansätze: In der DSGVO-Panik hat die New York Times ihre Monetarisierung für Europa gänzlich umgestellt.

Kein undurchsichtiges Netzwerk wie in diesem Artikel beschrieben. Kein verhaltensbasiertes Marketing. Nur kontextuelles und geografisches (auf Basis der IP) Targeting.

Das schöne? Die Werbeeinnahmen sind gestiegen. Ohne die sexuelle Orientierung oder religiöse Überzeugungen Firmen mit Namen wie Soomla oder Vungle zur Verfügung zu stellen.

Bis dieses Modell weite Verbreitung findet, wird es wohl noch mehrere Reports wie den vom NCC geben.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.