News vom 13.08.2020

TikTok identifizierte Nutzer*innen heimlich über Gerätedaten

Ein Artikel von , veröffentlicht am 13.08.2020

Die Social-Media-App TikTok hat Android-Nutzer*innen über ein Jahr lang nachspioniert. Das deckte die US-Zeitung Wall Street Journal in einer Analyse auf. Ein gefundenes Fressen für die Pläne der US-Regierung, TikTok zu verbieten.

Mindestens 15 Monate lang, bis zum November 2019, hat die Social-Media-App TikTok Android-Nutzer*innen über eine Gerätenummer eindeutig identifiziert - ohne deren Wissen. Wer die App beispielsweise löschte und mit anderen Anmeldedaten neu einrichtete, konnte von der chinesischen Anbieterfirma ByteDance Ltd. wiedererkannt werden.

Die App las dazu die MAC-Adresse aus, eine einmalige Nummer, die fest mit einem Smartphone verbunden ist. Selbst wenn Sie das Gerät auf Werkseinstellungen zurücksetzen und dabei alle Daten löschen, bleibt die MAC-Adresse bestehen. Wenn eine Firma sie hat, bringen auch Tricks wie das regelmäßige Ändern der Werbe-ID nichts mehr - Ihr Gerät wird immer wiedererkannt.

Aus diesem Grund untersagen Google und Apple App-Anbietern das Auslesen der MAC-Adresse in ihren App-Store-Richtlinien und schieben der Praxis seit 2015 auch technisch einen Riegel vor. Um die Nummer trotzdem abzurufen, nutzte TikTok eine Sicherheitslücke aus. Das Auslesen der Nummer ohne Zustimmung der Nutzer*innen dürfte zudem kaum mit der europäischen Datenschutz-Grundverordnung (DSGVO) vereinbar sein.

Dass TikTok sich die sensible Nummer mehr als ein Jahr lang heimlich von Nutzer*innen holte, konnte die New Yorker Tageszeitung Wall Street Journal in Kooperation mit der Privatsphäre-Analysefirma AppCensus zeigen. Mit einem Update wurde die Praxis laut Wall Street Journal am 18. November 2019 beendet.

Was genau sich hinter MAC-Adresse, Werbe-ID & Co. verbirgt, erfahren Sie in unserer Liste: Wichtige Identifier bei Android.

Viele Nummern für genaue Profile

Das Kombinieren unterschiedlicher Kennnummern eines Geräts nennt man ID-Bridging. Für Smartphone-Nutzer*innen ist diese Praxis ein großer Nachteil: Je mehr technische Daten bei einer Firma vorliegen, umso aussagekräftigere Nutzer*innenprofile können erstellt werden.

Dies geschieht häufig, ohne dass die Nutzer*innen davon wissen oder etwas dagegen tun könnten. Ob die so erstellten Profile nur für personalisierte Werbung genutzt oder weiterverkauft werden, ist ebenso unklar.

Wie Sie und Ihre Kinder TikTok etwas sicherer nutzen können, erfahren Sie in unserem Artikel Social-Media-App TikTok kurz vorgestellt.

Trump will TikTok in den USA verbieten

US-Präsident Donald Trump sprach schon vor dieser Neuigkeit davon, TikTok in den USA zu verbieten, falls es nicht in den Besitz eines US-amerikanischen Unternehmens übergehe. Daten von US-Bürger*innen seien in China nicht ausreichend vor dem Zugriff der chinesischen Regierung geschützt.

Trump hat bereits ein Verbot von Geschäften amerikanischer Unternehmen mit der Bytedance Ltd. auf den Weg gebracht, das Mitte September 2020 in Kraft treten soll. Für die Übernahme durch einen US-amerikanischen Anbieter bliebe also nur wenig Zeit.

Die TikTok-Betreiber*innen hatten auf die Vorwürfe erwidert, dass die Daten US-amerikanischer Nutzer*innen nicht in China, sondern auf Servern in den USA gespeichert würden. Damit unterlägen sie nicht dem chinesischen, sondern dem US-amerikanischen Recht. Die Bytedance Ltd. strebt nun ihrerseits eine Klage gegen den Erlass des US-Präsidenten an.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Der Autor

E-Mail

t.baulig@mobilsicher.de

PGP-Key

0x16234D8513F50164

Fingerprint

7979 1AA9 7078 4137 55CC 142D 1623 4D85 13F5 0164

Thorsten Baulig

Thorsten Baulig macht Sie auf unseren Social Media-Kanälen und im monatlichen Newsletter auf unsere neuesten Beiträge und wichtige Branchennews aufmerksam - und ist immer auch auf Ihre Meinung zu diesen Themen gespannt. Außerdem kümmert er sich bei mobilsicher um die Presse- und Öffentlichkeitsarbeit. Zuvor studierte er Kulturwissenschaft in Siegen und Berlin, organisierte Kulturprojekte und arbeitete im Verlag.

Weitere Artikel

Browser und Suchmaschinen 

Startpage: Suchmaschine mit starkem Tracking-Schutz

Die niederländische Suchmaschine StartPage nutzt die Trefferliste der Google-Suche und hält ihre Suchenden anonym. Finanziert wird das Angebot durch nicht personalisierte Werbung. Seit 2019 gehört Startpage mehrheitlich der US-amerikanischen Privacy One Group.

Mehr
Ratgeber 

Datenschutz bei Chrome (iOS)

Chrome ist auch auf iPhones und iPads ein häufig genutzter Browser. Wie er mit Daten umgehen soll, die er während des Surfens sammelt, kann man – ähnlich wie beim Apple-Browser Safari – teils in den Betriebssystemeinstellungen, teils in den Browsereinstellungen konfigurieren.

Mehr
Körper und Gesundheit 

Corona-Kontaktverfolgung: Die Schnittstelle von Apple und Google

Auch nach ihrem Erscheinen sorgt sie weiterhin für Kontroversen: Die Schnittstelle von Google und Apple, auf die Apps zum Nachverfolgen von Kontakten zugreifen können. Wir erklären, wie sie arbeitet, welche Einstellmöglichkeiten es gibt und wie es um den Datenschutz steht.

Mehr
App-Berechtigungen 

App-Berechtigungen bei F-Droid

Wer auf Android den alternativen App-Store F-Droid nutzt, liest beim Installieren neuer Apps viele Berechtigungen. Damit möchte der Store Transparenz schaffen. Die F-Droid-App selbst benötigt übrigens keine zustimmungspflichtigen Berechtigungen – einige Optionen sind aber praktisch.

Mehr