Android: Man muss in Kontakt bleiben

Wenn Sie im letzten Artikel gedacht haben: Also ist es doch besser ein Samsung oder Huawei oder Xiaomi mit Android zu kaufen, dann haben Sie falsch gedacht.

Android, wenn Sie es auspacken und starten und bei keinem Konto angemeldet sind

Google startet mit einer Verbindung zu app-measurement.com, das ist ein Google Analytics Server. Dieser erhält eine sog. App Instance ID, die bei weiteren aufrufen an diesen Server mit der Resettable Device ID (rdid) verbunden wird.

Als nächstes greift Google‘s Sicherheitsnetz. Das auszuführen geht zu weit. Daher nur kurz: Der sog. DroidGuard Prozess sendet die persistente Hardwaregerätenummer an www.googleapis.com/androidantiabuse. Sollten Sie meinem Flehen und Bitten und Betteln nachkommen und sich GrapheneOS auf einem Pixel installieren, werden Sie dies ein bisschen besser kennenlernen, denn Google hat es gar nicht gerne, wenn man Android mit Google durch Android ohne Google austauscht. Es ist kein Problem und auch kein Hindernis, aber Sie werden darüber lesen. Die eben erwähnte rdid, die all Ihren Verkehr misst und für Werbung verwendet, wird danach an www.gstatic.com und wiederum an app-measurement.com gesendet.

Weiter geht es im Reigen des sich Bekanntmachens (fast wie bei einem Firmenworkshop mit anderen Abteilungen) in dem die rawDeviceID an youtubei.googleapis.com/deviceregistration gesendet wird. YouTube! Dann wird android.clients.google.com/checkin mit Sitzplatzposition und Abfluggate… Sorry. Verwechslung, aber der Name sagt es: Checkin. Der erhält die weltweit eindeutige WIFI MAC Adresse (denken Sie an Flüge, Sie müssen auch eindeutig sein), die Hardware Seriennummer und die SIM IMEI (International Mobile Equipment Identity).

Eine MAC (Media-Access-Control) Adresse ist eine weltweit eindeutige Kennung von Netzwerkhardware.
Ihr WLAN Chip hat eine, Ihr Bluetooth Chip hat eine und Ihre Netzwerkkarte im Rechner hat auch eine. Gehen Sie in ‚Einstellungen-Über …‘ und Sie sehen die Ihres Handys. Weltweit eindeutig.

Diese oben genannten IDs und die MAC werden dadurch miteinander verbunden. Ab hier gilt keine Anonymität mehr. Zumindest in Deutschland, wo sie keine SIM anonym kaufen können. Fahren Sie lieber nach Dänemark.
Dann wird derselbe Server nochmal angesprochen und verbindet die eben genannten Daten mit der sog. AndroidID, die sich nach einem Zurücksetzen des Handys auf Ursprungszustand verändern lässt. Außerdem werden mehrere Sicherheitstokens ausgetauscht.
Frohlocket! Es werden auf dem Gerät Cookies erzeugt und mit der AndroidID an fonts.gstatic.com und play.googleapis.com gesendet. Während des Startens werden ca. 3 MB Daten an Google gesendet. Bei Apple sind es ca. 1 KB. Je nachdem, werden Betriebssystem- und App Updates im Rahmen von 1 GB oder mehr heruntergeladen.
Im Vergleich zu Apple benötigt Android nicht zwangsweise eine Netzwerkverbindung, um es zu starten. Dann wartet Android eben, bis Sie eine Netzwerkverbindung herstellen und legt dann los. Daher können Sie in Android Apps wie Google Play Store, Google Play Services und YouTube oder Maps deaktivieren oder löschen und erst dann die erste Verbindung öffnen. So werden viele Netzwerkverbindungen nicht getätigt. Beispielsweise könnten Sie das Gerät kaufen, zu Hause auspacken, keine SIM einlegen, keine offenen WIFI Router verwenden und das Gerät an Ihren Rechner hängen. Dann folgen Sie den hier beschriebenen Schritten, und aktivieren erst danach das Netzwerk.

Was passiert, wenn das Android Handy auf dem Tisch liegt, keine App gestartet wurde und sie sich bei keinem Google Konto angemeldet haben?

Weiterhin sind die Lokationsdienste ausgeschaltet.

Es passiert nichts, könnte man denken. Falsch gedacht. Es gibt immer was zu tun. Oder zu senden. Alle ca. sechs Stunden baut das Handy eine Verbindung zu android.googleapis.com/checkin auf und sendet u.a. die AndroidID, die Hardware Seriennummer, die SIM IMEI und IMSI (International Mobile Subscriber Identity) und die MAC Adresse des WLAN Moduls. Wann immer Sie eine SIM einlegen, baut das Gerät Verbindungen zu android.clients.google.com/fdfe/uploadDynamicConfig, android.googleapis.com/checkin und play.googleapis.com/log/batch auf, die alle die Telefonnumer erhalten, die SIM IMEI und IMSI sowie Details zum Telefonanbieter. Dann werden alle Daten mit der AndroidID verknüpft, mit der Hardware Sseriennummer und der WIFI MAC Adresse.

Regelmäßig verbindet sich das Android mit dem Sicherheitsdienst von Google (SafetyNet) www.googleapis.com. Auch hier werden wieder die Hardware Seriennummer, die rdid und ein undefinierbarer Datenverkehr von DroidGuard. Es geht aber noch weiter. Zusätzliche Verbindungen werden regelmässig zu www.googleapis.com/experimentsandconfigs getätigt und senden dabei ein Cookie und ein Authentifizierungs-Token mit weiteren Geräteinformationen. Das scheinen Google Testserver u.a. zum Testen von Werbung zu sein.

Alle 10-20 Minuten sendet Google Logging und Telemetrie-Daten an play.googleapis.com/log/batch. Die Daten werden um die AndroidID und ein Authentifizierungs-Token bereichert. Die Daten sind nicht wirklich lesbar, aber die Menge ist gross und scheint Daten von verschiedenen Quellen zusammenzuführen. Interessant dabei sind die Parameter CARRIER_SERVICES und ANDROID_DIALER, die Details Ihres Telefonanbieters und Ihre Telefonnummer darstellen.

App Sendeverhalten

Neben den Basisgrundlagen an Datensammlung, erzeugt der Google Play Store seine eigenen Telemetrie-Daten und verbindet auch diese mit der rdid und der AndroidID. Einige der vorinstallierten System-Apps bauen regelmässig Netzwerkverbindungen auf und teilen dabei auch einige der IDs.

Beispielsweise:

Die Nexus Launcher Suchleiste verbindet sich mit www. google.com/complete/search unter Verwendung eines Cookies und jede Aktivität wird über Google Analytics an app-measurement.com gesendet. Während die Verbindung zur Suche Sinn macht, zeigt es auch, dass jede Suchanfrage bei Google Analytics landet. Möglicherweise dient das zur Befütterung der KI Systeme und der Werber um Ihnen bessere Suchergebnisse und Werbung einzublenden. Selbst die Uhren-App sendet Daten an Google Analytics ssl.google-analytics.com/batch. Die SafetyHub App verbindet sich regelmässig mit den Google Firebase Diensten an android.clients.google.com und sendet die AndroidID und die FirebaseID.

Die YouTube App verbindet sich, natürlich, mit youtubei.googleapis.com/youtubei/v1/account und youtubei.googleapis.com/youtubei/v1/log_event. Beide senden einen Geräteidentifizierer und ein Authentifizierungs-Token. Natürlich lebt Youtube von Werbung und daher wird eine Verbindung zu www.googleadservices.com aufgebaut. Diese erhält die schon bekannte rdid, die vor allem für Werbung verwendet wird. Weiterhin wird regelmässig auf die Server i.ytimg.com/generate_204 und youtubei.googleapis.com/generate_204 um die Verbindung zu testen.

Chrome, Google Docs und die Nachrichten App machen Verbindungen auf, die nichts aussergewöhnliches darstellen. Interessanterweise ohne IDs zu senden.

Zur Telefon App und Nachrichten App habe ich einen separaten Artikel gepostet.