Kalorienzähler MyFitnessPal: Wer ihn nutzt, ist selber schuld

Die App MyFitnessPal nutzt personenbezogene Daten und Gesundheitsdaten für Werbung, Marketing und Personalisierung und gibt sie hemmungslos an andere Unternehmen weiter. Ein hoher Datenpreis für ein digitales Ernährungstagebuch. Wir raten von der Nutzung ab.

Version
6.27.1-10530
Betriebssystem
Android
App-Store- / Weblinks
Google Play (Android)
Weblink
Veröffentlicht am
Review Autor
Schlagworte
App-Test · Fitness-Apps · Tracking · Werbung
Drucken

Auf einen Blick

Was kann MyFitnessPal?

In der App kann man seine Nahrungsaufnahme protokollieren und in Kalorien umrechnen lassen. Man kann eigene Ziele einrichten, zum Beispiel, in einem Monat ein Kilo Gewicht zu verlieren. Gleichzeitig bietet die App eine Art soziales Netzwerk, in das man Freunde über Facebook oder aus dem eigenen Adressbuch einladen kann. Man kann in der App Freunde einladen und dann Nachrichten oder andere Informationen mitteilen. Die App lässt sich mit verschiedenen Wearables kombinieren.

Der Hersteller bietet eine kostenpflichtige Premiumversion und schaltet in der kostenlosen Basisversion Werbung. Zudem promoten die Apps verschiedene Shops des Mutterunternehmens, zum Beispiel, um Fitness-Geräte zu kaufen.

Anbieter ist die MyFitnessPal Inc. mit Sitz in San Francisco, USA. Seit 2015 gehört die Firma dem Sportbekleidungs-Hersteller „Under Armour Inc.“ Die Firma bietet noch zahlreiche andere Fitness-Apps mit unterschiedlichem Schwerpunkt an.

Unser Test im Überblick

Hinweis: In diesem Test bewerten wir ausschließlich, wie die App mit Nutzerdaten umgeht. Über die Funktionalität, zum Beispiel ob Kalorien korrekt berechnet werden, gibt dieser Test keine Auskunft.

MyFitnessPal erfüllt jedes Kriterium für das Prädikat „Datenstaubsauger“. Im Grunde gibt es keine Information, vor der die App Halt macht. Kritisch: Der Anbieter erhebt nicht nur Daten, mit denen man leicht identifizierbar ist zusammen mit Körperdaten wie Gewicht oder Nahrungsaufnahme. Sie teilt diese Daten auch mit Mitgliedern der Unternehmensgruppe. Nutzerprofile werden durch zugekaufte Daten ergänzt.

Zusätzlich erhalten neun Firmen neben MyFitnessPal Inc. Daten direkt aus der App. Vier davon sind besonders aufgefallen: Das Werbenetzwerk MoPub erhebt neben der Werbe-ID auch Alter und Geschlecht und bindet zahlreiche weitere Werbenetzwerke ein, die ebenfalls die Werbe-ID erhalten – und zwar unverschlüsselt. Crashlytics: Der Dienst für Absturzanalyse erhebt neben Werbe-ID auch die Device-ID und das auch ohne jeglichen Absturz. Es ist nicht nachvollziehbar, wozu das nötig ist. Die Werbenetzwerke TabMo und Aniview erheben den Standort via IP-Adresse. Das heißt: Selbst wenn man Standortdienste am Handy deaktiviert, kann diese Information erhoben werden.

Allerdings: MyFitnessPal macht aus all dem kein Geheimnis. Wer die Datenschutzerklärung liest, weiß, was Sache ist. Sie bildet weitgehend das ab, was wir in diesem Test gesehen haben. Insofern kann man hier schon sagen: Wer diese App nutzt, ist selber schuld.

Die wichtigsten übermittelten Informationen im Überblick:

  • Google Werbe-ID
  • Android Device-ID
  • GPS-Positionsdaten und über IP-Adresse ermittelte Positionsdaten
  • E-Mail-Adresse
  • Geburtsdatum (selbst angegeben)
  • Geschlecht (selbst angegeben)
  • Alle Fitness- und Gesundheitsdaten, die man eingibt oder misst

Unsere Testergebnisse im Detail

Getestet haben wir die Version 6.27.1-10530, die wir aus dem Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die Berechtigungen der App passen weitgehend zum Funktionsumfang. Ausnahme: Den Zugriff auf Identitätsdaten wie den Anmeldenamen für das Google-Konto (Berechtigung Konten suchen) begründet der Hersteller damit, dass die App Formulare bei in-App-Käufen automatisch ausfüllen soll. Unserer Ansicht nach kein ausreichender Komfortgewinn, um diese Information abzufragen, die sehr häufig Vor- und Nachnamen der Nutzer enthält.

Kritisch: Laut Anbieter nutzt die App die Berechtigung auf den Standort, um ortsbezogener Werbung zu schalten. Da die App zur Berechnung der eingegebenen Lebensmittel auf eine Datenbank zugreift, funktioniert sie nur mit Internetverbindung.

Auch die Berechtigung „Beim Start ausführen“ halten wir für nicht unbedingt nötig. Mit dieser Berechtigung können Nutzer leicht den Überblick darüber verlieren, wann die App aktiv ist und Daten aufzeichnet.

Kamera

Kontakte

Speicher

Standort

Sonstige

Wohin verbindet sich die App?

Die gesamte Kommunikation ist TLS-verschlüsselt. Auf zusätzliche Sicherheit durch Cert-Pinning verzichten die Hersteller.

MyFitnessPal (Hauptdienst): Noch bevor man eingeloggt ist oder ein neues Konto registriert hat, übermittelt die App folgende Informationen, die in Kombination personenbeziehbar sind:

  • Google Werbe-ID
  • Einmalig in der App generierte Device-ID
  • Betriebssystem, Modell und Hersteller des Gerätes, zum Beispiel Android 6.0, Nexus 5, LGE
  • Land und Provider, zum Beispiel DE, O2

Für die Nutzung von MyFitnessPal ist ein Nutzerkonto nötig. Man kann entweder ein neues Konto mit einer E-Mail-Adresse registrieren, oder ich mit seinem Facebook-Konto anmelden.

Bei der Registrierung eines neuen Kontos über die E-Mail Adresse wird Folgendes abgefragt und an MyFitnessPal Inc. übertragen:

  • Geschlecht
  • Geburtsdatum
  • Standort (Postleitzahl)
  • Körpergröße
  • Gewicht
  • E-Mail
  • Passwort
  • Benutzername
  • Einmalig generierte User-ID: 67508215009149
  • ++ weitere optionale Fragen, z.B. Abnehmziel

Die E-Mail Adresse muss verifiziert werden.

Ist die App aktiv, überträgt sie im Grunde alles, was man innerhalb der App eingibt. Zum Beispiel die Inhalte aus dem Ernährungstagebuch und den Status (Gewicht etc.).

MoPub, Inc. (Werbeverteiler): Fungiert als „Mediator“, über den Entwickler mit einem einzigen Modul mehrere Werbenetze einbinden können. Ist in der Vergangenheit durch sogenanntes Malvertising aufgefallen – das Ausspielen bösartiger Werbung. MoPub ist ein Tochterunternehmen von Twitter, Geschäftssitz ist San Francisco, USA.

Die Kommunikation erfolgt unverschlüsselt. Die App überträgt folgende Informationen unverschlüsselt an MoPub:

  • Google Werbe-ID
  • Gerät- und Herstellername
  • Name der App, hier: MyFitnessPal
  • Alter – in unserem Test 47 (es ist unklar, woher die App diese Information bezieht)
  • Geschlecht
  • Displayauflösung

Das Unternehme MoPub agiert als Werbehub, das andere Werbeanbieter einbindet. Folgende Werbedrittanbieter konnten während der Analyse identifiziert werden:

  • Semasio
  • MediaMath
  • OpenX
  • Rubicon Project
  • Amazon
  • Forensiq
  • build-cdn.liftoff.io: Liftoff
  • Vdopia
  • Context Web
  • Vermutlich würde man bei einem längeren Test auch noch mehr Anbieter finden.

Diese Drittanbieter erfragen und übermitteln selbst verschiedene Informationen vom Gerät. Die meisten Drittanbieter übermitteln diese Informationen unverschlüsselt. Ebenso wird die Werbung über eine unverschlüsselte Verbindung ausgeliefert. Hacker können diesen Datenverkehr leicht abfangen und bösartigen Code einschleusen. Dies ist in der Vergangenheit auch passiert und mit ein Grund, warum Werbung auch immer ein Einfallstor für Angreifer ist. Die App übermittelt unter anderem folgende Informationen an die Anbieter:

  • Google Werbe-ID
  • Android-Version, Modell und Hersteller des Gerätes
  • Sprache / Land
  • Name der App, hier: MyFitnessPal

Crashlytics (Tracker / Analytics): Crashlytics ist ein typischer Dienst zur Analyse von Abstürzen und Fehlern. Crashlytics Inc. ist eine Tochterfirma des Google-Konzerns, Hauptsitz ist Cambridge MA, USA. Wenn es keinen Absturz gibt, übermittelt die App folgende Informationen an Crashlytics:

Die Frage ist, wozu ein Analysedienst für Abstürze die Google Werbe-ID oder Android-ID benötigt.

TabMo SAS (Werbung, Auktionen): Bietet eine Plattform für Auktionen von Werbeplätzen. Hauptsitz ist Paris. Bei solchen Auktionen bieten Werbetreibende Geld für Werbeplätze abhängig davon, wie gut das Profil des jeweiligen Nutzers in ihre Zielgruppe passt. Nutzerprofile sind dafür notwendig.

Die App überträgt folgende Informationen an TabMo:

  • Google Werbe-ID
  • Android-Version, Modell und Hersteller des Gerätes
  • Land / Sprache
  • GPS-Positionsdaten. In unserem Test wichen die Koordinaten um 3,5 km Luftlinie vom tatsächlichen Standort ab. Vermutlich handelt es sich um einen Schätzwert aus der IP-Adresse.

Aniview Inc. (Videowerbung): Dienstleister für Video-Werbung. Firmensitz in New York, USA.

Die App übermittelt folgende Informationen an AniView:

  • Google Werbe-ID
  • Name der App, hier: MyFitnessPal
  • GPS-Positionsdaten. In unserem Test wichen die Koordinaten um 3,5 km Luftlinie vom tatsächlichen Standort ab. Vermutlih handelt es sich um einen Schätzwert aus der IP-Adresse.
  • Android-Version, Modell und Hersteller des Gerätes
  • Land / Sprache

Facebook: Unabhängig davon, ob man sich mit einem Facebook-Konto bei MyFitnessPal angemeldet hat, werden in regelmäßigen Abständen Verbindungen zu Facebook initiiert. Folgendes übermittelt die App dabei an Facebook:

  • Google Werbe-ID
  • Name und Version der App, zum Beispiel „MyFitnessPal“(com.myfitnesspal.android)
  • Android-Version, Modell und Herstellername des Gerätes
  • Land, Zeitzone

MOAT Inc. (Tracker / Analytics): Bietet Analyse für Apps und Webseiten an. Firmensitz ist New York, USA. Gehört seit 2017 dem IT-Giganten Oracle.

Übermittelte Information:

  • Android-Version

Amplitude, Inc. (Tracker / Analytics): Bietet Nutzeranalyse für Marketing in Apps und Webseiten. Firmensitz: San Francisco, USA. Folgende Informationen übermittelt die App an Amplitude:

  • Google Werbe-ID
  • Android-Version, Modell und Hersteller des Gerätes
  • Land / Sprache
  • Name und Version der App (MyFitnessPal)

Google (Tracker & Werbung): MyFitnessPal nutzt zwei Google-Dienste:

  • Google Analytics (Analyse)
  • Google Doubleclick (Werbung)

Die Kommunikation zu Google Analytics ist zusätzlich verschlüsselt, weshalb diese nicht einsehbar ist. An Google Doubleclick werden unter anderem folgende Informationen übermittelt:

  • Anfragende App, hier: MyFitnessPal
  • Geräte-Modell, zum Beispiel Nexus 5

Sharethrough, Inc. (Werbung): Bietet vor allem Video-Advertising auf Sozialen Netzwerken, Apps und Webseiten. Firmensitz ist San Francisco, USA.

Die App übermittelt folgende Informationen an Sharethrough:

  • Google Werbe-ID
  • Name der App, hier: MyFitnessPal
  • Gerät- und Herstellername
  • Displayauflösung

Wie sicher speichert die App meine Daten?

Nach der Registrierung / Anmeldung wird die E-Mail-Adresse und ein „Access Token“ lokal auf dem Gerät gespeichert. Über das Access Token kann MyFitnessPal den Nutzer wiedererkennen und darüber eine Authentifizierung am Dienst vornehmen. Das ist ein übliches Verfahren und vermeidet die lokale Speicherung des Passworts.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung, die über den Play-Store verlinkt ist, führt auf die Webseite von Under Armour Inc. Innerhalb der App ist sie im Menü (drei waagerechte Striche links oben) > Hilfe > AGB zu finden. Die Erklärung ist ausführlich, verständlich und versucht ganz offensichtlich, der Datenschutz-Grundverordung (DVGSO) gerecht zu werden, welche ab 25. Mai 2018 umgesetzt wird.

Die App holt bei der Registrierung eines Nutzerkontos zudem eine ausdrückliche Einwilligung ein, dass personenbezogene Daten und Gesundheitsdaten erfasst, in die USA übertragen und verwendet werden dürfen. Damit kommt der Anbieter den Anforderungen aus der DVGSO schon ziemlich nahe.

Was man wissen sollte:

  • Under Armour kauft Daten hinzu, um Nutzerprofile zu ergänzen. Sie haben also keinen vollen Überblick darüber, was der Hersteller alles über Sie weiß.
  • Personenbezogene Daten – auch Gesundheitsdaten – nutzt der Anbieter auch für Werbung, Marketing, Personalisierung.
  • Die Standortdaten können eventuell auch erfasst werden, wenn man die App gerade nicht nutzt.
  • Alle erfassten Daten werden zwischen den Tochterfirmen von Under Armour ausgetauscht.
  • Eingebundene Werbe- und Analyse-Dienste erhalten ebenfalls Zugriff auf persönliche Daten.

Wir halten den Umfang, in dem MyFitnessPal Daten erfasst, verknüpft und austauscht für sehr problematisch. Wir können von der Nutzung des Under-Armour-Imperiums nur abraten.

 


Mehr App-Tests auf mobilsicher.de

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!