Google‘s Telefonie- und SMS Überwachung

Google sammelt nicht nur Ihre Internet Daten. Auch Telefon- und SMS-Daten von Ihnen werden gesammelt. Mit wem telefonieren Sie wie lange, wann. Wem senden Sie SMS, von wem erhalten Sie SMS, wie oft, wann. Und die Nachrichten werden gehasht, das heisst, es wird ein Code erstellt, der pro Nachricht einmalig und eindeutig ist. Damit ist jede Nachricht, die Sie senden oder erhalten für immer eindeutig identifizierbar und bei Google gespeichert.

Trinity College

Ich muss sagen, ich bin manchmal sehr naiv. Das Google alles und jeden im Internet überwacht ist bekannt. Dass ich der Meinung bin, dass das nicht DSGVO-konform ist, auch. Woran ich aber in keiner Weise gedacht habe ist, dass Google auch alles andere sammelt.

Für mich, als jemand, der noch ohne Handys oder gar Smartphones aufgewachsen ist, war neuronal irgendwie eine Trennung zwischen Internet und Telefonie. Ja, ich verwende ein Smartphone zum telefonieren, aber irgendwie dachte ich, dass das getrennt ist.
Nun, das Trinity College🇬🇧 (PDF) hat mich eines besseren belehrt.
Auf das Trinity College bin ich das erste Mal aufmerksam geworden, als sie europäische Corona-Warn-Apps untersucht haben und feststellten, dass iPhones und Android Phones alle ca. 4 min nach Hause funken, selbst wenn sie nicht genutzt werden.

Aber da ging es ums Internet, da muss man leider heute davon ausgehen, dass alles und jeder überwacht wird, Daten wie blöd gesammelt werden und wirklich jede Schweinerei denkbar ist.

Doch der analoge Teil war mir entfallen, entwischt, aus meinem Fokus geraten: Telefonie und SMS. Nicht WhatsApp, Telegram, Threema oder die Föderierten. Nein, klassische Anrufe und langweilige SMS.
Doch auch hier hat mich das Trinity College aufgeweckt.

Hinweis: Diese Apps sind laut Google auf mehr als einer Milliarde Geräten installiert.
AT&T und T-Mobile US haben angekündigt, dass alle Android Phones in Ihren Netzen die Google Nachrichten App nutzen werden. Außerdem sind sie auf vielen Android-Geräten vorinstalliert.

Was also haben die Forscher dieses Mal herausgefunden?

Um zu telefonieren oder SMS zu versenden benötigen Sie auf einem Smartphone Apps. Klingt komisch, ist aber so. Diese Apps kommen vorinstalliert mit dem Telefon (sonst wäre es ja keines). Auf vielen Stock-Android Geräten (also Samsung, Google Pixel, etc.) sind das Apps von: Google. Yeah.
Diese Apps sind von Google.
Und damit ist dieser Artikel beendet. Denn das Wort Google beinhaltet Sammlung von Daten, Überwachung, Auswertung, Profilerstellung, Billionen Einnahmen dadurch, Zusammenarbeit mit den Behörden… Nur nicht wenn es um Rechteeinhaltung geht.

Diese Apps senden Ihr gesamtes Verhalten an Google. Konkret:
Wann haben Sie welche Telefonnummer angerufen. Sowohl Ihre als auch die angerufene Nummer (und umgekehrt), werden an Google gesendet. Wann (Tag und Uhrzeit) wurden sie von welcher Telefonnummer angerufen. Wie lange haben Sie miteinander telefoniert.
Da viele Menschen ein Google-Konto haben und dort ihre Telefonnummer angeben müssen, ist damit ein veritables Beziehungsnetzwerk erstellbar. Google kennt die Telefonnummern, die Namen und schon weiss es, wer mit wem wie lange telefoniert. Wie oft. Und wenn Sie die Standortdaten aktiviert haben, von wo.
Weiterhin wird Ihre Benutzung der Telefon-App (Google Dialer) genauestens aufgezeichnet. Wann haben Sie nach welchem Kontakt gesucht? Haben Sie ihn dann auch angerufen? Haben Sie ihn gelöscht? Jede einzelne Interaktion.

Gleiches gilt für SMS. Wer sendet wem, wann welche SMS. Außerdem wird ein sog. Hash (eine Zeichenkette, die über einen Algorithmus aus dem originalen Text erstellt wird und eindeutig und einmalig ist) erstellt. Damit ist diese Nachricht für immer und ewig eindeutig identifizierbar. Zur Erinnerung: Aus dem Hash kann aber nicht auf einfache Weise der Text wiederhergestellt werden.
Wie für die Telefon-App gilt auch für die SMS App: Google zeichnet jedes Tapping auf. Jede Interaktion mit der App wird registriert und an die Google Server verwendet. Selbst die Dauer zwischen zwei Interaktionen wird aufgezeichnet und an die Google Server geschickt. Damit kann ein Mitarbeiter bei Google Ihre gesamte Verwendung der beiden Apps komplett und gänzlich zu 100% seit Sie das Handy gekauft haben, rekonstruieren. Wie lange haben Sie eine SMS gelesen? Haben Sie sie gelöscht, geantwortet, Emojis ausgewählt? Alles.

Hier die wirklich gute Nachricht: Sie können sich dagegen nicht wehren. Es gibt kein Opt-out, keine Einstellung, das zu unterbinden.

Google fügt den oben genannten Daten noch die Android ID des Gerätes bei , welche wiederum mit einem Google-Konto verknüpft ist. Wenn Sie ein Google-Konto haben, was bei den meisten Android-Nutzern sicher der Fall ist, denn nur so können Sie Apps im Google Play Store kaufen, dann sind damit auch die Bank- oder Kreditkartendaten verbunden. Spätestens hier ist Google in der Lage, die Personen, die da miteinander kommunizieren, zu identifizieren. Oder bezahlen Sie anonym?
Da die Google Play Services aber noch mehr Daten über Sie sammeln, zum Beispiel die Seriennummer Ihres Handys und die SIM IMEI (die eindeutige Nummer Ihrer Simkarte), war es das mit Anonymität oder dem Glauben, nur der Telefonanbieter wüsste das über Sie.
Doch das reicht Google noch nicht. Alle Ereignisse auf Ihrem Handy die Google Analytics verwenden, zeichen die Google Advertising ID und die Firebase ID des Sendenden auf. Diese Firebase ID ist wiederum mit der Android ID verbunden. Werbung soll ja auch ankommen.

Datenschutzregelung

Nun könnten Sie als begeisterter Android-Nutzer oder Datenschutzspezialist einwenden: Naja, das hat Google sicher in den Apps dokumentiert.

Rufen Sie Ihre Google Nachrichten App auf und suchen Sie danach. Ehrlich. Tun Sie das. Finden Sie es? Gratuliere. Sie sind ein PowerUser.
Für alle anderen, so wie ich:

  • Tippen Sie auf die drei Punkte in der Suchleiste um die Einstellungen zu öffnen.
  • Scrollen Sie nach unten bis Sie den Text „Über, … Datenschutz“ und tippen Sie darauf. Tippen Sie auf den angebotenen Link zur Privatssphäre-Richtlinie.
    Wundern Sie sich!!! Ernsthaft. Wundern Sie sich. Denn auf einmal wird Ihnen ein Bildschirm angezeigt, der auf Chrome verweist.
    Um weiter zu machen, MÜSSEN Sie den Chrome Regelungen zustimmen. Es ist nicht möglich, die Privatsphäre- und Datenschutzrichtlinie der Nachrichten App anzusehen, ohne den Chrome Richtlinien vorher zustimmen zu müssen.
    Ach ja: Sagte ich vorhin nicht, dass Google jede Aktion mit der App aufzeichnet? Eben. Also auch, dass Sie gerade versuchen, die Privatsphäre Richtlinie zu lesen. Wie können Sie nur… Und das, bevor Sie sie überhaupt gesehen haben.
    Informierte Einwilligung bedeutet für mich etwas völlig anderes.
  • Sie haben also den Chrome Richtlinien zugestimmt. Jetzt kommt der grosse Motivator, der Sie anhält doch den Google Sync Services zuzustimmen. Gross und blau hinterlegt rechts, da wo man es erwartet: Ja. Links, ohne Farbhinterlegung, unauffällig: Nein, Danke.
  • Jetzt, endlich, dürfen Sie lesen, welche Daten Sie gerade abgegeben haben. Da Sie sowieso nicht widersprechen können, ist es auch egal.
  • Sie hätten natürlich auch einfach auf http://www.google.com/intl/en IE/policies/privacy/
    gehen können. Denn dort steht alles.
    Oder auch nicht. Denn dies ist eine allgemeine Policy. Keine, die speziell auf die Nachrichten App zugeschnitten ist. Dort steht nichts, aber auch gar nichts dazu, was genau die Nachrichten App über Sie sammelt.
    Und sonst: Während Sie diese Seite aufrufen werden ca. 20 Verbindungen zu Google aufgebaut, die Telemetrie-Daten über Sie sammeln. Aber das kennen Sie ja schon, Sie haben Ihr Android-Handy ja schon länger.

Doch das war nur die Nachrichten App. Die Telefonie App ist sicherlich viel besser.
Diese hat so gar keine Richtlinie in der App und auch keinen Link dazu. Lediglich eine Regelung die mit den Support-Seiten verbunden ist.
Sollten Sie immer noch Lust haben, hier die Schritte, wie Sie in der App dahin kommen.

  • Tippen Sie auf die drei Punkte in der Suchleiste
  • Tippen Sie auf „Hilfe und Feedback“ um die Support Seite zu sehen
  • Tippen Sie auf die drei Punkte oben rechts um ein neues Menu zu öffnen
  • Tippen Sie auf die Privatsphäre-Richtlinie
    Sie gelangen wieder auf eine Webseite. Mit den eben beschriebenen Zwischenschritten betreffend Chrome.
    Am Ende landen Sie auf https://policies.google.com/privacy
    Sie werden vergeblich nach irgendwelchen Informationen zur Telefonie App suchen. Dies ist allgemeines BlaBla.
    Und auch hier werden wieder Telemetrie-Daten an Google gesendet.

Hintergrund

Google verwendet für diese Sammlung die legendären Google Play Services und die Google/Firebase Analytics.

Das schöne an diesen Diensten und welche Daten sie wie genau aufzeichnen ist mäßig bis gar nicht offiziell dokumentiert. Ich frage mich, warum. Die Studie belegt auf jeden Fall, dass Google mit dem Sammeln der Daten weit über das hinausgeht, was offiziell dazu erklärt und publiziert und dokumentiert ist.

Zum Schluss: Spannend finde ich auch, dass sich die Autoren quasi entschuldigen, dass sie sich nicht alles angesehen haben. Es gäbe noch mehr Möglichkeiten, das Datensendeverhalten der weiter zu durchleuchten. D.h. das ist nur die Spitze des Eisberges.

Abtauchen

Was können Sie nun tun?
Radikal:
Verkaufen Sie Ihr Samsung oder sonstiges Handy, oder installieren Sie LineageOS oder GrapheneOS.

Medium:
Kaufen Sie sich ein iPhone (zu Apple gibt es noch keine derartige Untersuchung, aber ich bin guter Hoffnung). Apple verdient sein Geld (noch) nicht mit Daten.

Einfach:
Ersetzen Sie die Apps durch datenschutzfreundliche Apps. Das schöne an Android ist, dass Sie sehr viel ändern können. iPhones sind da viel eingeschränkter.

Dazu müssen Sie zuerst herausfinden, ob Ihr Gerät mit den Google Apps oder mit anderen bestückt sind. Ganz ehrlich: Egal. Ich traue auch anderen Android Anbietern zu, eigene, Daten-sammelnde Apps zu verwenden. Gerade den chinesischen Handys, habe aber keine Belege dafür.
Wenn Sie den Artikel „Mit Android abtauchen III“ gelesen haben, können Sie sich selber helfen.

com.google.android.dialer
com.google.android.app.messaging

sind die, nach denen Sie suchen müssen.

Alternativ können Sie aus dem f-droid Store die App APK Explorer herunterladen und installieren.
Diese App ist Open Source und hat laut exodus-privacy keine Tracker eingebaut.

Wenn Sie die App starten zeigt sie Ihnen eine Liste der installierten Apps an. Suchen Sie nach den oben genannten zwei Einträgen.

Verwenden Sie z. B. Simple Dialer, QKSMS oder Simple SMS Messenger

Hinweis: Viele Android Apps, die mit Simple beginnen (beispielsweise Simple Gallery oder Simple Filemanager), kommen von denselben Entwicklern und sind datenschutzfreundlich.

Alternativ können Sie natürlich endlich auch Threema installieren und darüber telefonieren und chatten.