Telefon-App Truecaller: Privatsphäre light (Android)

Die Telefon-App Truecaller ist mit 250 Millionen Nutzern extrem beliebt. Wichtigste Funktion: Unbekannte Anrufer können dank einer riesigen Datenbank mit Namen angezeigt werden. Dafür sammelt der Dienst nicht nur die eigene Nummer, sondern auch Nummern von Dritten, die Nutzer hochladen. Für reinen Spamschutz gibt es bessere Alternativen.

Version
9.4.10
Betriebssystem
Android
App-Store- / Weblinks
Apple App Store (iOS)
Google Play (Android)
Weblink
Veröffentlicht am
Review Autor
Schlagworte
App-Test · Telefonieren
Drucken

Auf einen Blick

Was kann „Truecaller“?

Die App Truecaller ist eine Telefon-App mit vielen Zusatzfunktionen. Vor allem bekommen Nutzer und Nutzerinnen Informationen zu unbekannten Nummern und SMS angezeigt und können diese blockieren. Dafür setzt Truecaller auf eine Crowd-Sourcing-Lösung. Die App sammelt die Telefonnummern und zugehörigen Namen aller Nutzer in einer Datenbank. Zusätzlich kann man selber Telefonnummern und Informationen zu Nummern hochladen.

Sobald ein Anruf oder eine SMS bei einem Nutzer von Truecaller eingeht, gleicht die App die Nummer mit der Datenbank ab, zeigt die Informationen an, die zu der Nummer hinterlegt sind oder blockiert sie bei Bedarf. Außerdem bietet Truecaller eine Funktion namens Truecaller Pay an, mit der man kleine Geldtransaktionen vornehmen kann.

Truecaller schaltet Werbeanzeigen, die kostenpflichtige Pro-Version ist werbefrei und hat Zusatzfunktionen.

Trucaller wurde im Play-Store mehr als 100 Millionen mal heruntergeladen. In einigen Android-Telefonen (zum Beispiel bei Wileyfox) ist Truecaller die vorinstallierte Telefon-App. Man kann sie also nicht ohne Weiteres deinstallieren.

Truecaller wird angeboten von der schwedischen Firma True Software Scandinavia AB.

Unser Test im Überblick

Wer die App Truecaller nutzt, übermittelt seine eigene Telefonnummer samt Nutzername an die Datenbank des Anbieters. Anderen Nutzern der App wird automatisch der eigene Nutzername bei einem Anruf angezeigt. Das ist die Grundfunktion und der Mehrwert der App – aber man sollte sich darüber im Klaren sein.

Viel problematischer sind folgende Punkte:

  1. Nutzer_Innen können in der App Telfonnummern aus dem Adressbuch oder der Anrufliste mit „Tags“ versehen und Namen zu unbekannten Nummern angeben. Wer das macht, lädt dabei den Kontakt samt Namen in die Datenbank von Truecaller und stellt sie allen anderen Nutzern zur Verfügung. Wer das nicht möchte, muss eine Einstellung ändern. Das widerspricht erstens dem Grundsatz von „Privacy by Default“ und der Prozess ist so unübersichtlich, dass man nicht genau weiß, wann ein Kontakt hochgeladen wird und wann nicht.
  2. Facebook erhält Daten aus der App, darunter die Werbe-ID. Die Datenschutzerklärung weist zwar auf Drittanbieter hin, nennt Facebook aber nicht namentlich.
  3. Die eigene Telefonnummer überträgt die App noch bevor man seine Einwilligung gegeben hat.

Die Firma gleicht alle eingehenden und ausgehenden Anrufe mit der eigenen Datenbank ab und lädt die Nummern dazu hoch. Das mag übergriffig klingen, aber anders kann der Dienst „Anruferinformation“ kaum funktionieren. Auch Telefonnummern aus dem Adressbuch werden einmalig hochgeladen, um sie mit der Datenbank abzugleichen.

Der Anbieter sicherte auf Anfrage von mobilsicher.de zu, dass die Nummern von Kommunikationsteilnehmern, die Truecaller nicht nutzen, in beiden Fällen unmittelbar nach dem Abgleich von den Servern des Dienstes gelöscht werden.

Die App unternimmt durchaus Anstrengungen, die Datenübermittlung deutlich zu erklären und eine wirksame Einwilligung einzuholen. Allerdings ist die Datenschutzerklärung nur auf Englisch und es fehlen dort wichtige Informationen (siehe Kapitel Datenschutz).

Anders als dies vermutlich früher der Fall war, lädt die App nicht das eigene Adressbuch hoch, um die Datenbank damit zu bereichern.

Unser Fazit: Truecaller bietet dank seiner riesigen Datenbank vermutlich die vollständigsten „Anruferinformationen“ von allen. Aber zu einem hohen Preis. Wer einfach nur Spam und Werbeanrufe erkennen und blockieren möchte, greift besser auf andere Dienste zurück, die weniger private Informationen benötigen.

Unser Test im Detail

Getestet haben wir die App „Trucaller – Anrufer-ID“ in der Version 9.4.10 die wir aus dem Play-Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die Berechtigungen sind umfangreich aber für den Funktionsumfang plausibel – bis auf die Berechtigung „Standort“. Ohne Zugriff auf die Kontakte funktioniert die App nicht – obwohl das für die Kernfunktion nicht nötig wäre.

Tippen Sie auf die jeweilige Berechtigung, um zu erfahren, was es damit auf sich hat, oder lesen Sie die ganze Liste in unserem Beitrag App-Berechtigungen entschlüsselt (Android).

Kamera

  • Bilder und Videos aufnehmen

Telefon

Kontakte

SMS

Mikrofon

Speicher

Standort

Sonstiges

Welche Daten überträgt die App an wen?

Alle übertragenen Daten sind TLS-verschlüsselt, das bedeutet, dass Dritte unterwegs nicht mitlesen können. Auf zusätzliche Sicherheit durch Cert Pinning verzichtet die App.

Truecaller (Hauptdienst). Unmittelbar nach dem Start übermittelt die App folgende Informationen an den Anbieter:

Diese Daten werden übermittelt, noch bevor der Nutzer oder die Nutzerin der Datenschutzerklärung zugestimmt hat. Bei der Einrichtung der App fragt Truecaller folgende Informationen ab, die ebenfalls an den Server des Anbieters übermittelt werden:

  • Name, Vorname (Pflichtfeld)
  • Geschlecht (Optional)
  • vollständige Wohnadresse (Optional)
  • Nutzerbild (Optional)
  • Arbeitgeber und Jobtitel (Optional)
  • Social-Media: E-Mail, Facebook-ID, Twitter-ID (Optional)
  • Telefonnummer (Pflichtfeld, wird verifiziert)

Bei einem eingehenden Anruf übermittelt Truecaller:

Wenn man selbst jemanden anruft, übermittelt Truecaller:

  • Anfangszeit und Endzeit des Anrufs
  • die angerufene Telefonnummer

Höchst problematisch: Wenn der Nutzer oder die Nutzerin lokal auf dem Gerät einen Kontakt bearbeitet oder einen neuen hinzufügt, übermittelt die App die Telefonnummer von diesem Kontakt danach an Trucaller. Darüber erhält man keinerlei Benachrichtigung. Es ist vollkommen unklar, wozu dieser Datentransfer gut ist.

Facebook (Werbung und Analyse): Die App Truecaller nutzt den kostenlosen Analysedienst von Facebook und schaltet Werbung über das Facebook-Werbenetzwerk. Dabei gelangen Informationen aus der App zu Facebook, die bei Facebook mit bestehenden Nutzerdaten verknüpft werden.

Direkt nach dem Start der App und in wiederkehrenden Abständen werden unter anderem folgende Informationen an das Facebook-Werbenetzwerk übermittelt – egal ob man ein Facebook-Konto hat oder nicht:

  • Die Google-Werbe-ID
  • Name und Version der App (Truecaller)
  • Standard-Informationen (Android-Version, Gerätemodell und Hersteller, Display-Auflösung, Land, Zeitzone)
  • Nutzungsdaten, zum Beispiel, wann man die App öffnet, welche Funktionen man in der App nutzt und wann man sie schließt.

Crashlytics (Analyse): Dienstleister, der Apps auf Fehler und Abstürze analysiert, aber auch Nutzungsanalysen durchführt. Gehört zum Google-Konzern. An den Dienst werden folgende Informationen übertragen:

  • Standardinformationen (Gerätehersteller und Modell, Android-Version und Build-Nummer)
  • Informationen zur installierten App (Installations-ID)
  • Google-Werbe-ID
  • Android-ID (eindeutige Kennnummer)

Laut Googles eigenen Richtlinien sollte kein Dienst die letzten beiden Kennnummern gleichzeitig abfragen. Es ist völlig unverständlich, warum Crashlytics diese Abfrage immer noch praktiziert.

Firebase Analytics von Google (App-Measurement.com): Firebase stellt App-Bausteine für bestimmte Funktionen kostenlos zur Verfügung. Firebase gehört zum Google-Konzern. Das Analytics-Modul ist ein kostenloses Werkzeug zur Nutzeranalyse in iOS- und Android-Apps. Die App überträgt folgende Daten an den Dienst:

  • Standard-Informationen (Android-Version, Geräte-Modell, Build-Nummer)
  • Hinweis: Weitere Informationen bzw. Datenübermittlungen sind zusätzlich verschlüsselt und lassen sich nicht einsehen.

Push-Dienst (Google): Das „Google Service Framework“ wird benötigt, um Push-Nachrichten zu übermitteln (GCM). Unter anderem gehen folgende Informationen an den Dienst:

  • Name und Version der App (Truecaller)

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist im Play-Store verlinkt und innerhalb der App unter Menü -> Einstellungen -> Über zu finden. Es gib nur eine englische Version, so dass deutsche Nutzer sie nur schwerlich werden lesen können.

Die englische Version erklärt das Teilen und zur Verfügung stellen der eigenen Telefonnummer klar und verständlich. Es wird auch deutlich, dass der Dienst die eigenen Informationen durch zugekaufte Daten ergänzt. Auch alle erhobenen Daten und Kennnummern werden erwähnt.

Die Möglichkeiten, die eigenen Daten zu sehen und zu löschen sind klar beschrieben. Toll: Innerhalb der App gibt es per Schnittstelle die Möglichkeit, sämtliche Daten, die Truecaller über einen gespeichert hat, einzusehen. Das ist sehr aufschlussreich und ganz einfach.

Was fehlt: Dass Daten an Dritte gehen, wird zwar erwähnt, aber die eingebundenen Dienstleister, vor allem Facebook, sind nicht genannt. Vor allem im Fall von Facebook ist dies problematisch, da der Konzern die erhobenen Daten zuordnen und somit deanonymisieren kann.


Mehr App-Tests auf mobilsicher.de

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!