Musical.ly – für Kinder ungeeignet

Musical.ly ist eine App, in der man 15-Sekunden-Musikvideos aufnehmen, bearbeiten und anschließend im dazugehörigen sozialen Neztwerk teilen kann. Sie ist bei Kindern und Jugendlichen weit verbreitet. Die App ignoriert Datenschutzanforderungen und verleitet zu unsicherer Handhabung.

Version
5.3.0
Betriebssystem
Android
App-Store- / Weblinks
Apple App Store (iOS)
Google Play (Android)
Weblink
Veröffentlicht am
Review Autor
Drucken

Auf einen Blick

Was ist musical.ly?

Musical.ly ist ein soziales Netzwerk, in dem Musikvideos geteilt werden. Die Videos können in der zugehörigen App aufgenommen werden. Es stehen zum Beispiel verschiedene Lieder und TV-Szenen für Play-Back-Produktionen zur Verfügung, und die Videos können mit Filtern, Geräuschen und unterschiedlichen Geschwindigkeiten bearbeitet werden. Es gibt die App für Android- und iOS-Geräte.

Über In-App-Käufe kann man anderen Nutzern, die man gut findet, virtuelle Geschenke kaufen, zum Beispiel Emoticons. Den Kaufpreis bekommt der Beschenkte über PayPal gutgeschrieben. Bekannte Nutzer können dadurch beträchtliche Summen verdienen. Musical.ly behält sich vor, einen Anteil der Geschenk-Summen einzubehalten.

Der Dienst startete 2015 und hatte Anfang 2017 weltweit rund 200 Millionen NutzerInnen, davon 8,5 Millionen in Deutschland. Die App ist vor allem bei Teenagern beliebt und gilt als Konkurrenz für Instagram und Snapchat.

Musical.ly wurde in Shanghai entwickelt; die Betreiberfirma hat zwei Standorte in den USA, ist aber auf den Cayman-Inseln registriert.

Unser Test zusammengefasst

Musical.ly hat einige kritische Standard-Einstellungen. So sind Konten grundsätzlich öffentlich. Das heißt: Jeder kann die hochgeladenen Videos sehen und jeder kann einem ungefragt folgen. Der ungefähre Aufenthaltsort wird standardmäßig ausgelesen und anderen Nutzern mitgeteilt. Beide Einstellungen kann man manuell ändern. Aktuell kann man einmal eingerichtete Konten nicht mehr löschen. Beim Beenden der App wird man nicht automatisch abgemeldet. Bekommt ein Fremder dann Zugriff auf das Gerät, kann er auf das musical.ly-Konto zugreifen.

Der Dienst gibt selbst an, sich an NutzerInnen über 13 Jahren zu richten, fragt das Alter aber nicht ab. Explizite sexuelle Videos sind zwar nicht erwünscht, es findet aber keine Filterung statt, so dass man leicht auf solche Inhalte stoßen kann. Die Lieder, die für die Play-Back-Funktion zur Verfügung stehen, sind ebenfalls ungefiltert. Zum Teil sind die Texte nicht für Kinderohren geeignet.

Hinter den Kulissen liest die App reichlich Daten aus – welche genau, haben wir im Kasten weiter unten zusammengefasst. Zudem nimmt die App ungefragt Verbindung zu acht anderen Unternehmen auf, an die zum Teil Nutzerdaten übertragen werden, darunter Analysedienste, Werbenetzwerke und andere Dienstanbieter.

Obwohl die App auf Deutsch angeboten wird, liegt keine Datenschutzerklärung in deutscher Sprache vor – was sehr wahrscheinlich rechtswidrig ist. Die englische Version informiert nur unvollständig darüber, welche Daten erhoben und an wen sie weitergegeben werden.

Nach unserer Einschätzung ist Musical.ly eine App, die für Kinder auf keinen Fall geeignet ist und sich ohne Not über Grundlagen der Privatsphäre und Transparenz hinwegsetzt.

Technische Analyse: Mike Kuketz.

Die wichtigsten übermittelten Informationen

  • Land und Sprache, zum Beispiel DE
  • Gerätetyp, zum Beispiel LGE Nexus 5
  • Betriebssystem, zum Beispiel Android 6.0.1
  • Prozessortyp, Displayauflösung
  • IMEI (Eindeutige Geräte-ID)
  • Google Werbe-ID
  • Mobilfunkprovider, zum Beispiel Vodafone
  • Installationsdatum, Installationsquelle, zum Beispiel Google Playstore
  • IP-Adresse
  • Batteriestand

Unser Test im Detail

Getestet haben wir die Musical.ly-Version 5.3.0, die wir aus dem Play-Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen. Wir testen die Android-Version 6.0.1.

Ausführliche Informationen dazu, wie unsere App-Rezensionen aufgebaut sind, welche Tests wir durchführen und was wir damit erreichen wollen, finden Sie im Hintergrundtext Was untersuchen wir in App-Rezensionen?

Auf welche Daten kann die App zugreifen?

Für ein soziales Netzwerk, bei dem es darum geht, Freunde zu finden und Videos zu teilen, sind die meisten Berechtigungen nachvollziehbar. Unklar ist, warum die App auf Telefonstatus und Identität zugreift, denn damit lassen sich die Telefonnummer von Anrufern auslesen, sowie die IMEI, die SIM-Kartennummer, die eigene Telefonnummer und der Name des Telefonproviders. Auch die SMS-Berechtigung ist nicht nachvollziehbar.

Ein Klick auf die Berechtigung bringt Sie zu unserer Detail-Erklärung. Positiv ist, dass die App keinen Zugriff auf die Ortsdaten anfragt, was in früheren Versionen offenbar noch der Fall war.

Kamera

Kontakte

Mikrofon

SMS

Speicher/Fotos/Medien/Dateien

Telefon

Andere Berechtigungen

Unter Android 6.0 werden keine Berechtigungen bei der Installation abgefragt, sondern erst, wenn die App diese konkret benötigt. Einige Berechtigungen können verweigert werden.

Wohin verbindet sich die App?

Musical.ly: Beim Start der App werden folgende Informationen an Musical.ly übertragen:

  • Verbindungstyp, zum Beispiel WiFi oder GSM
  • Land und Sprache, zum Beispiel DE
  • Gerätetyp, zum Beispiel LGE Nexus 5
  • Betriebssystem, zum Beispiel Android 6.0.1
  • Prozessortyp und Display-Auflösung
  • Bei der Anmeldung erzeugt die App eine eindeutige Nutzer-ID, die ebenfalls übertragen wird.

Je nachdem, wie man sich registriert hat, werden noch folgende Informationen übertragen:

  • Via E-Mail-Adresse angemeldet: E-Mail-Adresse, ausgewählter Spitzname, Passwort
  • Nach der Registrierung wird der volle Name abgefragt und ebenfalls übertragen.
  • Via Telefon angemeldet: Telefonnummer.
    Hinweis: Angabe der Telefonnummer ist notwendig, um Freunde bzw. Kontakte aus dem lokalen Adressbuch einzuladen und hinzuzufügen.
  • Via Facebook angemeldet: Alle Informationen aus dem öffentlichen Facebook-Profil. Facebook-Freundesliste wird standardmäßig abgefragt, man kann dies aber abwählen.

Umeng: Der größte Anbieter von App-Analytik und Online-Werbung in China. Geschäftssitz ist Peking. An den Dienst werden folgende Informationen übertragen:

  • Installationsdatum der App
  • Installionsquelle, zum Beispiel Google Play
  • Installierte App-Version, zum Beispiel 5.3.0
  • Betriebssystem, zum Beispiel Android 6.0.1

Crashlytics: Dienstleister, der Apps auf Fehler und Abstürze analysiert, aber auch Nutzungsanalysen durchführt. Er gehört inzwischen zum Google-Konzern. An den Dienst werden folgende Informationen übertragen:

Appsflyer: Analysedienst, der vor allem identifiziert, von welchem Link aus Nutzer zur Installation einer App gekommen sind. Geschäftssitz ist Herzliya, Israel. An den Dienst werden folgende Informationen übertragen:

  • Gerätetyp, zum Beispiel LGE Nexus 5
  • Mobilfunkprovider, zum Beispiel Vodafone
  • Akkustand
  • IMEI
  • Installionsquelle, zum Beispiel Google Play
  • Android-ID
  • Google Werbe-ID
  • GPS-Status
  • Genaue Betriebssystem-Version (inklusive Build-Nummer)
  • Prozessor-Typ
  • Netzwerk, zum Beispiel WiFi
  • Land, zum Beispiel DE
  • Eindeutige ID, von AppsFlyer generiert
  • Installationsdatum und -zeit der App

Intowow: Werbenetzwerk für mobile Video-Werbung. Geschäftssitz in Taiwan. Betreibt eine Plattform zum Verteilen von Video-Werbung namens CrystalExpress. An den Dienst werden folgende Informationen übertragen:

  • IP-Adresse. Zweck: Geo-Lokation über die Adresse „geoinfo.intowow.com“
    Anschließend: Auslieferung von geobasierter Werbung

Zusätzlich werden Daten an einen Dienst namens tracking.i2w.io übertragen, der vermutlich zu Intowow gehört:

  • Android-Werbe-ID
  • Android-ID
  • Crystal-ID

Easemob: Bietet einen Externen Chat-Dienst an, den Entwickler in ihre Apps integrieren können. Ermöglicht es, Nachrichten, Daten und Audiodateien auszutauschen. Geschäftssitz ist Peking, China. An den Dienst werden folgende Daten übertragen:

  • IP-Adresse. Zweck: Dient dem Aufbau einer Verbindung für Chat oder Voice

Weitere Dienste: Die App nimmt beim Start ungefragt eine Verbindung zu Twitter auf. Da diese Datenübertragung durch Certificate-Pinning geschützt ist, kann nicht geprüft werden, was übertragen wird, und zu welchem Zweck. Die App nutzt außerdem die Google-Play-Dienste, um Push-Nachrichten zu übermitteln.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung von musical.ly ist derzeit nur in englischer Sprache vorhanden. Dies ist sehr wahrscheinlich rechtswidrig, da ein Dienst, der gezielt ein deutsches Publikum anspricht, zum Beispiel durch ein deutschsprachiges Menü und eine deutschsprachige Webseite, auch unter deutsche Datenschutzregeln fällt.

Die englische Version informiert nur unvollständig darüber, welche Daten musical.ly erhebt. So werden eindeutige Identifikationsmerkmale wie IMEI und Android-ID nicht genannt, aber gesammelt und an Dritte weitergegeben werden.

Das Unternehmen räumt sich das Recht ein, alle – auch personenbezogene Informationen – zu nutzen und an Dritte weiterzugeben, um den Dienst zu verbessern. Welche und wie viele Drittanbieter dabei Daten erhalten, und was diese dann mit den Daten tun, ist für NutzerInnen nicht transparent.

Die angegebene E-Mail-Adresse darf für Werbezwecke genutzt werden. Die Datenschutzerklärung sichert explizit zu, dass personenbezogene Daten nicht zu Werbezwecken verkauft werden.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!