App-Test

Musik-App Shazam im Test (iOS)

Ein Artikel von , veröffentlicht am 19.12.2017
Bild: CC0 Pixabay / geralt

Mit der App „Shazam“ kann man sich den Song anzeigen lassen, der gerade läuft. Unser Test zeigt: Der Dienst erhebt reichlich Daten, darunter auch den Standort. Mindestens acht andere Unternehmen erhalten ebenfalls Daten aus der App.

Update: Shazam gehört seit September 2018 zu Apple. Der Konzern hat angekündigt, dass die App in Zukunft werbefrei sein soll. Wenn Apple das umgesetzt haben wird, werden Teile unseres Tests möglicherweise obsolet sein.

Was ist Shazam?

Sie wollen wissen, wie das Lied heißt, das gerade in der Bar, im Kaufhaus oder irgendwo sonst zu hören ist? Die App "Shazam" ist bei vielen bekannten Liedern in der Lage, Titel und Interpret zu liefern.

Das funktioniert so: Per Fingertipp können Sie etwa zehn Sekunden lang die Umgebungsgeräusche aufnehmen und die Aufnahme zu Shazam hochladen. Dort wird sie analysiert. Gibt es eine Übereinstimmung in der Shazam-Datenbank, zeigt die App anschließend an, wie der Song heißt und wer ihn gemacht hat. Shazam erkennt auch Sequenzen aus Filmen oder TV-Sendungen.

Die App ist für Android, iOS und Windows (8, 10 und Mobile) verfügbar. Sie ist kostenlos und blendet zur Finanzierung reichlich Werbung ein. Über eine direkte Anbindung zum iTunes-Store kann man die identifizierte Audiosequenz anschließend als Einzeltitel oder Album erwerben.

Anbieter der App ist die Firma Shazam Entertainment Ltd. mit Hauptsitz in London, England. Seit November 2018 gehört Shazam zu Apple.

Unser Test im Überblick

Die App verlangt nach der Installation unter anderem Zugriff auf die Standort-Daten und liest diese auch dann aus, wenn kein Song analysiert wird. Diese Abfrage bewerten wir als klar übergriffig.

Neben dem eigentlichen Anbieter, Shazam Entertainment Ltd., konnten wir in unserem Test Datenübertragungen zu acht anderen Unternehmen beobachten. Darunter auch das Werbenetzwerk MoPub, das schon häufig negativ aufgefallen ist.

Die Shazam Entertainment Ltd. richtet sich in der Ansprache eindeutig an Deutsche Nutzerinnen und Nutzer, stellt die Datenschutzerklärung aber nur auf Englisch bereit. Unsere Meinung: Kein guter Service und vermutlich rechtswidrig. Welche Unternehmen eingebunden sind, wird in der Erklärung nicht erwähnt.

Fazit: Der Nutzer „bezahlt“ die kostenlose Nutzung des Dienstes mit seinen Daten, die zur Einblendung interessensbezogener Werbung herangezogen werden.

In der Mitteilung zur Übernahme von Shazam hat Apple angekündigt, dass die App in Zukunft werbefrei sein soll.

Die wichtigsten übermittelten Informationen im Überblick

  • Apple Werbe-ID (IDFA)
  • iOS Version
  • Gerätemodell / -hersteller
  • Mobilfunkanbieter
  • Name (von Einstellungen → Allgemein → Info)
  • Ob eine Verknüpfung zu Facebook besteht
  • Einmalig generierte Erkennungsmerkmale (Authentikation-ID, Geräte-ID)

Unsere Testergebnisse im Detail:

Getestet haben wir die Version 11.4.2, die wir aus dem iTunes-App-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen.

Welche Daten sieht die App?

Shazam fordert nach der Installation die Berechtigung „Mikrofon“ an. Ohne den Zugriff auf das Mikrofon wäre die App nutzlos, da keine Audiosequenzen mitgeschnitten werden könnten.

Weiterhin möchte die App Zugriff auf den Standort. Für eine App mit dieser Funktionalität ist diese Berechtigung nicht plausibel.

Was hinter App-Berechtigungen bei iOS steckt, erfahren Sie in diesem Hintergrund-Text.

Wohin verbindet sich die App?

Shazam: Die App baut mehrere Verbindungen zu den Servern der Shazam Entertainment Ltd. auf, um den eigentlichen Dienst zu erbringen. Die Kommunikation erfolgt verschlüsselt, auf zusätzliche Sicherheit durch Cert-Pinning wird allerdings verzichtet.

Neben technischen Informationen, wie den Übertragungszeitpunkt, werden unter anderem folgende Informationen direkt beim Start der App übermittelt, die in Kombination eventuell personenbeziehbar sind:

  • Apple Werbe-ID (IDFA)
  • iOS-Version
  • Gerätemodell / -hersteller
  • Eingestellte Sprache
  • Eine einmalig generierte, eindeutige „User-ID“
  • Versionsnummer von Shazam
  • Ob die Einblendung von Werbung limitiert wird

Während die App geöffnet ist, überträgt Shazam neben den genannten Daten auch in regelmäßigen Abständen folgende Informationen:

  • Netzwerkverbindungstyp (WiFi)
  • Ob der Zugriff auf das Mikrofon erlaubt/verboten ist
  • Ob der Zugriff auf die Kamera erlaubt/verboten ist
  • Ob der Zugriff auf die GPS erlaubt/verboten ist
  • Standort (falls der Zugriff auf Standort erlaubt)

Hat der Nutzer den Zugriff auf den Standort erlaubt, überträgt Shazam in regelmäßigen Abständen GPS-Positionsdaten - auch dann, wenn gar kein Musiktitel oder ähnliches durch Shazam „getaggt“ (erkannt) oder identifiziert wird.

Apple: Unmittelbar nach dem Start nimmt die App Verbindung zu unterschiedlichen Adressen von Apple auf. Der Grund: Die Entwickler greifen auf diverse Apple-Dienste zurück – zum Beispiel, um In-App-Käufe über Apples App-Store abzuwickeln.

Facebook: Direkt nach dem Start nimmt die App Verbindung zu Facebook auf. Eine Verbindung zu Facebook wird jedes mal aufgebaut – auch wenn der Nutzer kein Facebook-Konto besitzt. Facebook erhält neben technischen Informationen, wie den Übertragungszeitpunkt, unter anderem folgende Informationen, die in Kombination möglicherweise personenbeziehbar sind:

  • Apple Werbe-ID (IDFA)
  • iOS Version
  • Gerätemodell / -hersteller
  • Eingestellte Sprache / Land
  • Displayauflösung
  • Name und Versionsnummer von Shazam
  • Eingestellte Lautstärke
  • Freier Speicher auf dem Gerät
  • Freier Speicher und Gesamtspeicher (RAM)
  • Positionswerte des Gyro-Sensors (X, Y und Z)
  • Ladestand und ob das Gerät geladen wird

Man kann einen bestehenden Facebook-Account mit Shazam verknüpfen. In dem Fall erhält die Shazam Entertainment Ltd. Zugriff auf Informationen aus dem Facebook-Konto, darunter Name, Profilbild, Geschlecht, Freundesliste, Geburtstag und E-Mail-Adresse.

Werbung: Während unseres Tests konnten wir MoPub und Googles DoubleClick als Drittanbieter identifizieren, die Werbung innerhalb Shazam einblenden.

Neben technischen Informationen, wie den Übertragungszeitpunkt, werden unter anderem folgende Informationen direkt beim Start der App an diese Anbieter übermittelt, die in Kombination möglicherweise personenbeziehbar sind:

  • Apple Werbe-ID (IDFA)
  • iOS Version
  • Gerätemodell/-hersteller
  • Eingestellte Sprache/Land
  • Name und Versionsnummer von Shazam
  • Ob aktuell Audio abgespielt wird
  • Eingestellte Lautstärke
  • Displayauflösung
  • Netzwerkverbindungstyp (WiFi)
  • Musiktitel, der von Shazam erkannt wurde
  • Album, das von Shazam erkannt wurde

Analyse/Tracker: Direkt beim Start der App werden diverse Informationen direkt an Drittanbieter für Analyse und Tracking übermittelt. Zu den identifizierten Anbietern zählen Scorecard Research, Hockey App, AdSafeProtected, SZM-Messung, Serving-Sys.com und Litoff.io. Die integrierten Analyse- und Tracking-Bibliotheken verfolgen die Aktionen des Nutzers innerhalb der App. Unter anderem werden folgende Informationen übertragen:

  • Apple Werbe-ID (IDFA)
  • iOS-Version
  • Gerätemodell /-hersteller
  • Eingestellte Sprache/Land
  • Name und Versionsnummer von Shazam
  • Ob aktuell Audio abgespielt wird
  • Eingestellte Lautstärke
  • Displayauflösung
  • Netzwerkverbindungstyp (WiFi)
  • Mobilfunkanbieter (zum Beispiel 02)
  • Musiktitel, der von Shazam getaggt wurde
  • Album, das von Shazam getaggt wurde

Wie sicher speichert die App meine Daten?

Bei diesem Kriterium prüfen wir im Normalfall, wie Apps beispielsweise sensible Anmeldeinformationen auf dem Smartphone hinterlegen und wie diese geschützt werden. Für die Nutzung von Shazam ist allerdings keine Nutzerkonto notwendig.

Was sagt die Datenschutzerklärung?

Die im iTunes Store verlinkte Datenschutzerklärung verweist auf die Webseite der Shazam Entertainment Ltd. Innerhalb der App ist die Datenschutzerklärung über „Einstellungen → Info → Datenschutz“ erreichbar.

Leider ist die Datenschutzerklärung nur in englischer Sprache verfügbar, was wahrscheinlich gegen die rechtlichen Bestimmungen in Deutschland verstößt.

Insgesamt informiert Shazam transparent über die Erfassung, Verwendung und Weitergabe der übermittelten Daten und Informationen. Es wird sogar darauf hingewiesen, dass Drittanbieter während der Nutzung von Shazam möglicherweise auch personenbezogene Daten erfassen. Allerdings nennt die Datenschutzerklärung nicht, mit welchen Drittanbietern die Shazam Entertainment Ltd. zusammenarbeitet und welche Daten dabei übermittelt werden.

In der Datenschutzerklärung wird ebenfalls darauf hingewiesen, dass personenbeziehbare Daten auch in andere Länder, außerhalb der EU, transferiert und gespeichert werden.

Werden nur notwendige Daten erhoben?

Das Prinzip der Datensparsamkeit wird nicht umgesetzt. Unter anderem werden Daten für Analyse, Werbung und Marktforschung erfasst.

 

Weitere Artikel

Ratgeber 

Marcel Bokhorst: “Closed source and privacy protection don’t go together very well”

Marcel Bokhorst from the Netherlands is the developer of the open source Android app FairEmail. Besides transparency and privacy, he thinks that an easy usability is essential for an app’s success. This is why he takes users’ feedback seriously, he told mobilsicher.

Mehr
YouTube-Video 

Video: Fahrplan-App Öffi kurz vorgestellt

Im Juli 2018 flog die Fahrplan-App namens "Öffi" aus dem Google Play-Store. Während noch an einer Lösung gearbeitet wird, haben wir die kostenlose App für Bus und Bahn auf Funktionalität und Datensicherheit getestet. Ergebnis: Eure Daten bleiben, wo sie hingehören - bei euch. Und praktisch ist die App außerdem.

Ansehen
App-Test 

App-Test: Meine Schwangerschaft & Baby

Die Android-App ist ein digitaler Ratgeber für jeden Tag der Schwangerschaft. Inhaltlich achtet der Hersteller auf Qualität. Datenschutz hat für ihn aber offenbar keine Priorität. Neun andere Unternehmen erhalten Daten aus der App, darunter auch Facebook. Informiert wird darüber an keiner Stelle.

Mehr
Ratgeber 

Ratgeber: Handy gegen Diebstahl sichern

Jeden Tag werden unzählige Mobilgeräte gestohlen oder verloren. Nehmen Sie sich einen Augenblick Zeit, um sich auf einen möglichen Handy-Diebstahl vorzubereiten. Im Verlustfall können diese Vorkehrungen den Schaden zumindest begrenzen.

Mehr