App-Test

Telefon-App Truecaller: Privatsphäre light (Android)

Ein Artikel von , veröffentlicht am 28.06.2018
Bild: CC0 Pixabay / geralt

Die Telefon-App Truecaller ist mit 250 Millionen Nutzern extrem beliebt. Wichtigste Funktion: Unbekannte Anrufer können dank einer riesigen Datenbank mit Namen angezeigt werden. Dafür sammelt der Dienst nicht nur die eigene Nummer, sondern auch Nummern von Dritten, die Nutzer hochladen. Für reinen Spamschutz gibt es bessere Alternativen.

Version

9.4.10

Betriebssysteme

Android

Links

Apple App Store (iOS)
Google Play (Android)
Weblink
HINWEIS: Manuell durchgeführte App-Analysen wie diese gelten grundsätzlich nur für die getestete App-Version und haben damit den Charakter einer Momentaufnahme. Aktuelle Testberichte für mehr als 30.000 Android-Apps finden Sie seit Oktober 2020 über unseren AppChecker.

Was kann „Truecaller“?

Die App Truecaller ist eine Telefon-App mit vielen Zusatzfunktionen. Vor allem bekommen Nutzer und Nutzerinnen Informationen zu unbekannten Nummern und SMS angezeigt und können diese blockieren. Dafür setzt Truecaller auf eine Crowd-Sourcing-Lösung. Die App sammelt die Telefonnummern und zugehörigen Namen aller Nutzer in einer Datenbank. Zusätzlich kann man selber Telefonnummern und Informationen zu Nummern hochladen.

Sobald ein Anruf oder eine SMS bei einem Nutzer von Truecaller eingeht, gleicht die App die Nummer mit der Datenbank ab, zeigt die Informationen an, die zu der Nummer hinterlegt sind oder blockiert sie bei Bedarf. Außerdem bietet Truecaller eine Funktion namens Truecaller Pay an, mit der man kleine Geldtransaktionen vornehmen kann.

Truecaller schaltet Werbeanzeigen, die kostenpflichtige Pro-Version ist werbefrei und hat Zusatzfunktionen.

Trucaller wurde im Play-Store mehr als 100 Millionen mal heruntergeladen. In einigen Android-Telefonen (zum Beispiel bei Wileyfox) ist Truecaller die vorinstallierte Telefon-App. Man kann sie also nicht ohne Weiteres deinstallieren.

Truecaller wird angeboten von der schwedischen Firma True Software Scandinavia AB.

Unser Test im Überblick

Wer die App Truecaller nutzt, übermittelt seine eigene Telefonnummer samt Nutzername an die Datenbank des Anbieters. Anderen Nutzern der App wird automatisch der eigene Nutzername bei einem Anruf angezeigt. Das ist die Grundfunktion und der Mehrwert der App - aber man sollte sich darüber im Klaren sein.

Viel problematischer sind folgende Punkte:

  1. Nutzer_Innen können in der App Telfonnummern aus dem Adressbuch oder der Anrufliste mit "Tags" versehen und Namen zu unbekannten Nummern angeben. Wer das macht, lädt dabei den Kontakt samt Namen in die Datenbank von Truecaller und stellt sie allen anderen Nutzern zur Verfügung. Wer das nicht möchte, muss eine Einstellung ändern. Das widerspricht erstens dem Grundsatz von "Privacy by Default" und der Prozess ist so unübersichtlich, dass man nicht genau weiß, wann ein Kontakt hochgeladen wird und wann nicht.
  2. Facebook erhält Daten aus der App, darunter die Werbe-ID. Die Datenschutzerklärung weist zwar auf Drittanbieter hin, nennt Facebook aber nicht namentlich.
  3. Die eigene Telefonnummer überträgt die App noch bevor man seine Einwilligung gegeben hat.

Die Firma gleicht alle eingehenden und ausgehenden Anrufe mit der eigenen Datenbank ab und lädt die Nummern dazu hoch. Das mag übergriffig klingen, aber anders kann der Dienst "Anruferinformation" kaum funktionieren. Auch Telefonnummern aus dem Adressbuch werden einmalig hochgeladen, um sie mit der Datenbank abzugleichen.

Der Anbieter sicherte auf Anfrage von mobilsicher.de zu, dass die Nummern von Kommunikationsteilnehmern, die Truecaller nicht nutzen, in beiden Fällen unmittelbar nach dem Abgleich von den Servern des Dienstes gelöscht werden.

Die App unternimmt durchaus Anstrengungen, die Datenübermittlung deutlich zu erklären und eine wirksame Einwilligung einzuholen. Allerdings ist die Datenschutzerklärung nur auf Englisch und es fehlen dort wichtige Informationen (siehe Kapitel Datenschutz).

Anders als dies vermutlich früher der Fall war, lädt die App nicht das eigene Adressbuch hoch, um die Datenbank damit zu bereichern.

Unser Fazit: Truecaller bietet dank seiner riesigen Datenbank vermutlich die vollständigsten "Anruferinformationen" von allen. Aber zu einem hohen Preis. Wer einfach nur Spam und Werbeanrufe erkennen und blockieren möchte, greift besser auf andere Dienste zurück, die weniger private Informationen benötigen.

Unser Test im Detail

Getestet haben wir die App „Trucaller - Anrufer-ID“ in der Version 9.4.10 die wir aus dem Play-Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die Berechtigungen sind umfangreich aber für den Funktionsumfang plausibel - bis auf die Berechtigung "Standort". Ohne Zugriff auf die Kontakte funktioniert die App nicht - obwohl das für die Kernfunktion nicht nötig wäre.

Tippen Sie auf die jeweilige Berechtigung, um zu erfahren, was es damit auf sich hat, oder lesen Sie die ganze Liste in unserem Beitrag App-Berechtigungen entschlüsselt (Android).

Kamera

  • Bilder und Videos aufnehmen

Telefon

Kontakte

SMS

Mikrofon

Speicher

Standort

Sonstiges

Welche Daten überträgt die App an wen?

Alle übertragenen Daten sind TLS-verschlüsselt, das bedeutet, dass Dritte unterwegs nicht mitlesen können. Auf zusätzliche Sicherheit durch Cert Pinning verzichtet die App.

Truecaller (Hauptdienst). Unmittelbar nach dem Start übermittelt die App folgende Informationen an den Anbieter:

Diese Daten werden übermittelt, noch bevor der Nutzer oder die Nutzerin der Datenschutzerklärung zugestimmt hat. Bei der Einrichtung der App fragt Truecaller folgende Informationen ab, die ebenfalls an den Server des Anbieters übermittelt werden:

  • Name, Vorname (Pflichtfeld)
  • Geschlecht (Optional)
  • vollständige Wohnadresse (Optional)
  • Nutzerbild (Optional)
  • Arbeitgeber und Jobtitel (Optional)
  • Social-Media: E-Mail, Facebook-ID, Twitter-ID (Optional)
  • Telefonnummer (Pflichtfeld, wird verifiziert)

Bei einem eingehenden Anruf übermittelt Truecaller:

Wenn man selbst jemanden anruft, übermittelt Truecaller:

  • Anfangszeit und Endzeit des Anrufs
  • die angerufene Telefonnummer

Höchst problematisch: Wenn der Nutzer oder die Nutzerin lokal auf dem Gerät einen Kontakt bearbeitet oder einen neuen hinzufügt, übermittelt die App die Telefonnummer von diesem Kontakt danach an Trucaller. Darüber erhält man keinerlei Benachrichtigung. Es ist vollkommen unklar, wozu dieser Datentransfer gut ist.

Facebook (Werbung und Analyse): Die App Truecaller nutzt den kostenlosen Analysedienst von Facebook und schaltet Werbung über das Facebook-Werbenetzwerk. Dabei gelangen Informationen aus der App zu Facebook, die bei Facebook mit bestehenden Nutzerdaten verknüpft werden.

Direkt nach dem Start der App und in wiederkehrenden Abständen werden unter anderem folgende Informationen an das Facebook-Werbenetzwerk übermittelt - egal ob man ein Facebook-Konto hat oder nicht:

  • Die Google-Werbe-ID
  • Name und Version der App (Truecaller)
  • Standard-Informationen (Android-Version, Gerätemodell und Hersteller, Display-Auflösung, Land, Zeitzone)
  • Nutzungsdaten, zum Beispiel, wann man die App öffnet, welche Funktionen man in der App nutzt und wann man sie schließt.

Crashlytics (Analyse): Dienstleister, der Apps auf Fehler und Abstürze analysiert, aber auch Nutzungsanalysen durchführt. Gehört zum Google-Konzern. An den Dienst werden folgende Informationen übertragen:

  • Standardinformationen (Gerätehersteller und Modell, Android-Version und Build-Nummer)
  • Informationen zur installierten App (Installations-ID)
  • Google-Werbe-ID
  • Android-ID (eindeutige Kennnummer)

Laut Googles eigenen Richtlinien sollte kein Dienst die letzten beiden Kennnummern gleichzeitig abfragen. Es ist völlig unverständlich, warum Crashlytics diese Abfrage immer noch praktiziert.

Firebase Analytics von Google (App-Measurement.com): Firebase stellt App-Bausteine für bestimmte Funktionen kostenlos zur Verfügung. Firebase gehört zum Google-Konzern. Das Analytics-Modul ist ein kostenloses Werkzeug zur Nutzeranalyse in iOS- und Android-Apps. Die App überträgt folgende Daten an den Dienst:

  • Standard-Informationen (Android-Version, Geräte-Modell, Build-Nummer)
  • Hinweis: Weitere Informationen bzw. Datenübermittlungen sind zusätzlich verschlüsselt und lassen sich nicht einsehen.

Push-Dienst (Google): Das „Google Service Framework“ wird benötigt, um Push-Nachrichten zu übermitteln (GCM). Unter anderem gehen folgende Informationen an den Dienst:

  • Name und Version der App (Truecaller)

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist im Play-Store verlinkt und innerhalb der App unter Menü -> Einstellungen -> Über zu finden. Es gib nur eine englische Version, so dass deutsche Nutzer sie nur schwerlich werden lesen können.

Die englische Version erklärt das Teilen und zur Verfügung stellen der eigenen Telefonnummer klar und verständlich. Es wird auch deutlich, dass der Dienst die eigenen Informationen durch zugekaufte Daten ergänzt. Auch alle erhobenen Daten und Kennnummern werden erwähnt.

Die Möglichkeiten, die eigenen Daten zu sehen und zu löschen sind klar beschrieben. Toll: Innerhalb der App gibt es per Schnittstelle die Möglichkeit, sämtliche Daten, die Truecaller über einen gespeichert hat, einzusehen. Das ist sehr aufschlussreich und ganz einfach.

Was fehlt: Dass Daten an Dritte gehen, wird zwar erwähnt, aber die eingebundenen Dienstleister, vor allem Facebook, sind nicht genannt. Vor allem im Fall von Facebook ist dies problematisch, da der Konzern die erhobenen Daten zuordnen und somit deanonymisieren kann.

Artikel drucken:

Beitrag teilen:

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Apps gecheckt: Daten, die vom E-Roller fallen

Wer sich per App einen E-Roller ausleiht, zahlt dafür. Trotzdem werden persönliche Daten an etliche Dritte weitergegeben, darunter der eigene Name, Kontaktdaten, Standort und WLAN-Informationen. Vier Apps im Datentest.

Mehr YouTube-Video 

Apps gecheckt: E-Scooter-Apps

Anbieter von E-Scootern wissen viel über ihre Nutzer*innen. Passen die Firmen gut auf diese wichtigen Daten auf? Oder geben sie sie an andere weiter? Wir haben die Apps von Lime, Tier, Bird, Voi und Bolt analysiert. Natürlich mussten wir dazu Roller fahren. Alles für die Wissenschaft!

Ansehen Ratgeber 

Apps des Monats – die 10 besten für Android

Ein transparenter Werbe-Blocker, eine kluge Tastatur, Backup-Hilfen, Tipps für Eltern und mehr - hier sind unsere zehn spannendsten Apps des vergangenen Monats. Ab Ende März erscheint diese neue Reihe immer pünktlich am letzten Sonntag.

Mehr Ratgeber 

Android ohne Google – wie geht das?

Wer ein Android-Gerät in Betrieb nimmt, wird aufgefordert, die Nutzungsbedingungen von Google zu akzeptieren und ein Google-Konto einzurichten. Von diesem Moment an fließen Nutzungsdaten an den Konzern. Geht es auch anders?

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz