Android Fingerprinting (Im Namen des Herren, äh, Google)

Android ist nicht meine bevorzugte Plattform. Ja, es ist konfigurierbarer als iOS und mit f-Droid bietet es einen alternativen AppStore an. Auf der anderen Seite schnattert Android zu viel. Und wenn man es möglichst sicher nutzen will, braucht man viel Wissen und einiges an Zeit um es ein bisschen im Zaum zu halten.

Andauernd werden viel mehr Daten als bei iOS übertragen. Und das ist Teil des Geschäftsmodell. Nur werden die Daten nicht nur an Google übermittelt.
Ich habe schon über Fingerprinting im Browser gesprochen. Doch es gibt natürlich auch Fingerprinting auf mobilen Geräten.
Android erlaubt es Apps, ein Inventar aller installierten Applikationen zu erstellen und nach Hause zu telefonieren. Damit kann jeder App-Entwickler diese Daten einsammeln und auswerten, verkaufen, etc.
Aber nicht nur das. Apps konnten auch dem Betriebssystem mitteilen: „Hey, Android, sag mal Bescheid wenn der Anwender eine neue App installiert. Muss ich unbedingt wissen.“ Installierte der Anwender einen neue App, wurde die andere App informiert und konnte das nach Hause melden. Nochmal: Nicht nur an Google, sondern an jede Applikation, die das wissen wollte.
Da Anwender im Durchschnitt 90 Applikationen auf dem Handy installiert haben, ist damit ein Fingerprinting wunderbar möglich. Wer benötigt noch die AAID?
Es braucht wirklich keinen Raketenwissenschaftler – oder sogar einen Computerwissenschaftler – um zu erkennen, dass dies zur Erstellung von Profilen verwendet wird. Jetzt sagen Sie vielleicht: Theoretisch, aber praktisch macht das niemand.
Weit gefehlt.
Im Jahr 2014 begann Twitter im Rahmen seiner „Appgraph“-Initiative🇬🇧, die Liste der auf den Geräten der Nutzer installierten Apps zu verfolgen, um maßgeschneiderte Inhalte zu liefern.
Fand Twitter beispielsweise Apps über Menstruation wurden Ihnen ggf. Tampons oder Damenbinden angeboten. Hatten Sie muslimische Betapps installiert, dann bekamen Sie vielleicht Werbung über Halal-Essen. Auf jeden Fall konnte damit ein sehr viel genaueres Profil von Ihnen erstellt werden, da wir mittlerweile alles auf den Mobilgeräten machen. Twitter erfuhr vielleicht, bei welcher Bank Sie sind, ob Sie Tinder installiert haben uvm. Vielleicht wollen Sie nicht, dass jeder weiss, dass Sie auf Tinder sind. So wie früher nie jemand zugegeben hat, den Playboy zu lesen. Oder die Bild… Aus meiner Sicht geht es wirklich niemanden etwas an, bei welcher Bank ich bin und ob ich Parship oder Tinder verwende. Oder eine App die aufzeichnet, wann ich meine Potenzpillen, HIV Medikamente oder sonstwas genommen habe. Doch ich schweife app.

Auch der Anbieter von digitalen Geldbörsen, MobiKwik, wurde im Zuge einer Datenpanne, die letzte Woche bekannt wurde, dabei erwischt, Informationen über installierte Apps zu sammeln.

Eine Studie eines Schweizer Forscherteams🇬🇧 (PDF), die 2019 veröffentlicht wurde, kam zu dem Schluss, dass

kostenlose Apps eher nach solchen Informationen fragen und dass Drittanbieter-Bibliotheken die Liste der installierten Apps am häufigsten abfragen.

Schweizer Forscher: HideMyAppp

Die Schweizer Forscher schrieben:

Da Benutzer im Durchschnitt 80 Apps auf ihren Telefonen installiert haben, von denen die meisten kostenlos sind, besteht eine hohe Wahrscheinlichkeit, dass nicht vertrauenswürdige Dritte die Liste der installierten Apps erhalten.“

Schweizer Forscher: HideMyAppp

Und vor einem Jahr, im März 2020, fand eine andere akademische Studie heraus, dass 4.214 Google Play-Apps heimlich eine Liste aller anderen installierten Apps sammelten, um Entwicklern und Werbetreibenden zu ermöglichen, die Liste der installierten Apps zu erstellen.

Es werden also detaillierte Profile von Nutzern erstellt. Ohne Ihr Wissen. Ohne Ihre Zustimmung. Wo, bitte schön, ist da die DSGVO?

„Hey! Google lässt uns das machen, also muss es okay sein!“

Android macht es den Entwicklern sehr leicht an diese Daten zu gelangen.
Doch Google will das Ganze jetzt etwas einschränken🇬🇧. Wie so oft in dieser Werbewelt, jede Schweinerei, die auch nur entfernt möglich ist, wird gemacht. Und es sind immer dieselben Akteure. Der eine setzt ein trauriges Gesicht auf und entschuldigt sich, der andere sagt: Aber jetzt kümmern wir uns um Datenschutz. Klingt wie die Corona-Politik in Deutschland. Im März 2021 wurde ein Impfbeauftragter ernannt. Kennen Sie seinen Namen?

Android ist von Hause aus gesprächig, offen. Da die meisten Anwender keine Ahnung haben was passiert und sehr viele auch kein Interesse haben, wird fleissig gesammelt. Über jeden alles. Wie schon geschrieben. Es ist sehr schade, dass es keine bequemen, schönen Dinge in der Techwelt geben kann, ohne das unsere Daten, unsere Privatsphäre, unser Menschenrecht mit Füssen getreten wird.

Google wollte bewusst einen Gegenpol zu Apple anbieten. Offen, frei, konfigurierbar. Eine freie Wiese, während Apple ein Gefängnis war. Doch das Gute im Menschen überwiegt nicht bei allen.

Was Sie tun können?

Android does not provide users with a mechanism to hide the existence of apps from other apps.

Schweizer Forscher: HideMyAppp

Empfehlung:
Android erlaubt mehrere Nutzer anzulegen. Sie könnten ein Konto für die täglichen Dinge einrichten und eines für die sensiblen Apps, wie Bankapp, Dating App, Medizinische App. Das kostet, denn die Apps können nicht mehr mit den anderen im anderen Account interagieren. Wenn Sie das benötigen. Doch auch das ist nur bedingt hilfreich. Android 9 und 7 erlauben die Abfrage von installierten Apps in anderen Konten, aber diese sind möglicherweise nicht so wahrscheinlich.

Verwenden Sie, wenn möglich, Android for Work. Sie können „Arbeits-Apps“ definieren die von den anderen geschützt sind.

Ansonsten: Nehmen Sie Ihre Daten selber in die Hand. Sie können ein entgoogeltes Android benutzen, beispielweise gibt es Fariphones mit /e/OS, basierend auf LineageOS. Sie können Tools verwenden, um weniger Daten zu senden, beispilesweise Blokada oder Netguard. Sie können wann immer möglich die Apps aus dem f-Droid Store beziehen. Und Sie können Apps, die unverschämt beim Sammeln von Daten sind, löschen und nach Alternativen suchen. Oder es zu Hause am Rechner im Browser benutzen. Den können Sie schön konfigurieren, nach Ihren Wünschen, wie in der Serie über Firefox dargestellt. Sie können Qwant oder Ecosia oder andere Suchmaschinen als Google benutzen. Stellen Sie sich vor: An einem Tag, in einer Woche, benutzt kein Mensch auf diesem Planeten die Google Suche, Facebook, Amazon. Was das für einen Druck ausüben könnte. Ich weiss, ich träume.