Hintergrund

App-Module (SDKs): So tracken Apps ihre Nutzer

App-Tracking

In vielen Apps sind Software-Bausteine enthalten, die nicht vom Hersteller der App stammen, sondern von Analysediensten oder Werbefirmen. Man nennt sie „SDKs“ oder „Module“. Oft sammeln diese Module Nutzerdaten und schicken sie direkt an ihren Hersteller. Welche Module eine App enthält, sieht man ihr nicht an.

Aktualisiert am
Autor
Schlagworte
Analytics · Module · Tracking · Werbung
Drucken

Veröffentlicht am

Auf einen Blick

Praktisch: Fertige Bausteine für bestimmte Funktionen

Module sind fertige Software-Bausteine, die man in eine App einbauen kann. Im Jargon nennt man so einen Baustein „SDK“, das steht für den englischen Begriff „Software Development Kit“. Module können unterschiedliche Aufgaben haben. Meist übernehmen sie eine bestimmte Standardfunktion, etwa Bilder anzeigen oder den Anwender ein Datum auswählen lassen.

Viele Entwickler stellen derartige Module bereit, damit andere Entwickler sie in ihre Apps integrieren können. Der Einsatz von solchen Funktionsmodulen ist ein sinnvolles Konzept: Das Rad muss nicht von jedem Programmierer neu erfunden werden, sondern es kann auf bestehendes Wissen zurückgegriffen werden, indem es gebündelt als Baustein übernommen wird. So können Fehler behoben und Funktionen ergänzt werden und jeder Entwickler kann sich auf das konzentrieren, was er oder sie am besten kann.

Hilfreich: Apps verbessern mit Analyse-SDKs

Eine Kategorie dieser Bausteine sind so genannte Analysemodule. Sie tragen nicht direkt zur eigentlichen Funktionalität der App bei, sind aber dennoch oft sinnvoll: Sie sollen Fehler in der App nachvollziehbar machen, damit Entwickler die Ursache einfacher beheben können. Allerdings ist die Grenze zwischen Analyse und Marketing fließend: Analysedienste kommen auch zum Einsatz, um zu messen, ob eine Werbekampagne erfolgreich war oder um herauszufinden, für welche Werbung sich ein Nutzer interessiert.

Klassische Dienste zur Absturzanalyse erfassen zum Beispiel viele Technische Daten. Dienste zur Nutzer- und Marketing-Analyse erfassen auch Inhaltliche Daten, zum Beispiel, worauf ein Nutzer geklickt hat.

Analyse-Module werden von Firmen bereitgestellt, die in der Regel die Analyse selbst vornehmen. Die Entwickler bekommen dann ein aufbereitetes Ergebnis zu sehen. Die Nutzerdaten selbst, die ein Analysemodul ausliest, landen hingegen bei der Analysefirma. Welche Analysedienste in einer App eingebunden sind, erfährt der Nutzer meistens nicht.

Aus Datenschutzperspektive sind Analysemodule ein Graubereich. Es ist durchaus legitim und erlaubt, dass ein App-Anbieter ein Analyseunternehmen beauftragt. Dabei wird ein Vertrag geschlossen und rechtlich gesehen ist der Anbieter weiterhin der „Besitzer“ der gesammelten Daten und für ihre Sicherheit und rechtmäßige Verwendung verantwortlich.

Einige Analysedienste, die meist kostenpflichtig sind, arbeiten so. Zum Beispiel der deutsche Anbieter „Adjust“. Bei anderen Firmen ist die Sache weniger eindeutig. Zum Beispiel bei Facebooks kostenlosem Analysedienst, „Facebook Analytics“. Hier muss man aufgrund von Faceooks Datenschutzbestimmungen davon ausgehen, dass Facebook die zur Analyse gesammelten Daten auch mit bestehenden Nutzerprofilen verknüpft.

Es kommt hier also auf die Auswahl des Dienstleisters an.

App-Tracking über Werbemodule

Die meisten Entwickler möchten für ihre Arbeit an einer App bezahlt werden. Leider sind die wenigsten Anwender bereit, auch nur einen Euro dafür auszugeben. An dieser Stelle kommen Werbemodule ins Spiel.

Viele Programmierer finanzieren sich durch Werbung. Gemäß einer 2016 durchgeführten Studie enthalten mehr als 41 Prozent aller Apps im Google Play-Store mindestens ein Werbemodul. Es ist durchaus üblich, dass gleichzeitig mehrere Werbemodule verschiedener Anbieter in einer App zu finden sind.

Werbemodule werden von sogenannten Werbenetzwerken bereitgestellt. Das sind Unternehmen, die sich darauf spezialisiert haben, mit Hilfe von Nutzerprofilen Werbung zielgenau zu verteilen. Sie versuchen daher stets herauszufinden, ob sie zu einem bestimmten Nutzer bereits ein Profil haben. Dafür fragen sie in der Regel eine Kennnummer vom Gerät ab. Bei iOS ist das die Apple Ad-ID, bei Android die Google Werbe-ID.

Befindet sich ein Profil mit der entsprechenden Werbe-ID in der Datenbank, bekommt der Nutzer entsprechende Werbung angezeigt. Gleichzeitig haben Werbenetzwerke ein Interesse daran, ihre Nutzerprofile weiter zu ergänzen. Deshalb versuchen sie, über den Nutzer so viele weitere Informationen wie möglich zu sammeln: Zum Beispiel, welche App er gerade nutzt, welches Gerät, wo er sich aufhält und vieles mehr.

Auch hier gilt: Den Namen der eingebundenen Werbenetzwerke erfährt der Nutzer nicht.

Allgemeine Implikationen

Module, die nicht zur eigentlichen Funktionalität von Apps beitragen – also Analyse- und Werbemodule –, haben ihren Preis. Zunächst einmal benötigt jedes Modul Speicherplatz. Zweitens benötigen Analyse- und Werbemodule zusätzliches Datenvolumen: Statistiken und weitere Informationen müssen hoch-, Werbung heruntergeladen werden.

In manchen Apps gehen 90 Prozent des Datenverkehrs nur auf solche Module zurück. Zusätzlich werden Rechenkapazität, Arbeitsspeicher und auch Akku benötigt. Und: Einige dieser „Drittanbieter-Helfer“ scheinen ziemlich gierig nach Nutzerdaten zu sein. Oft tun sie weit mehr, als vom Entwickler beabsichtigt.

Einige dieser Analyse- und Werbe-Module sind dafür bekannt, aggressiv in die Privatsphäre der Anwender einzudringen – und auch sonst lästiges Verhalten zu zeigen, wie etwa Pop-ups und unangemessene Werbung anzuzeigen.

Hinzu kommt, dass sie nicht selten als Einfallstor für Schadprogramme dienen. Zum einen auf Grund von Programmierfehlern, zum anderen, weil die Betreiber der Werbenetzwerke in der Regel nicht prüfen, ob die Werbeanzeigen, die sie verteilen, Schadprogramme enthalten.

Werbe- und Analysemodule sind Datensammler

Praktisch jedes Werbemodul greift auf mindestens einen „Identifier“ zu, also auf eine Information, mit der ein Nutzer einem Nutzerprofil zugeordnet werden kann. Meistens ist das die Werbe-ID (für Apple oder Google). Werbeanbieter, die sich bereits an die neuen Vorgaben durch die EU-Datenschutz-Grundverordnung (DSGVO) halten, fragen darüber hinaus keine weiteren Kennnummern ab.

Bei Android-Geräten wird vor allem von Analysediensten oder die IMEI, seltener die WiFi-MAC-Adresse, Seriennummer oder Telefonnummer. Nicht selten werden diese Daten völlig unverschlüsselt und im Klartext übertragen – ein gefundenes Fressen für alle, die unterwegs „mitschneiden“.

Wird das gleiche Modul in mehreren der installierten Apps verwendet, lassen sich aus den gesammelten Daten umfangreiche Anwenderprofile erstellen: Über die erfassten Identifier lassen sich die einzelnen Sammlungen leicht verknüpfen. Für Analytics-Module gilt das gleichermaßen.

Keine Trennung zwischen App und Modul

Was kaum einem Nutzer klar ist: Alle Berechtigungen der eigentlichen App gelten auch für die Module einer App. Hat eine App zum Beispiel Zugriff auf das Adressbuch, so haben die eingebauten Module diesen Zugriff ebenfalls.

Da in den meisten Fällen der Quelltext der Module nicht offen liegt, können Entwickler nicht prüfen, was ein Modul tatsächlich tut, sondern müssen sich auf die Angaben des Herstellers verlassen. Allerdings gibt es oft eindeutige Hinweise: So fordern einige Module viele Berechtigungen. Damit ein Entwickler dieses Modul einbinden kann, muss er seine App so programmieren, dass sie die Berechtigungen erhält, die das Modul benötigt.

Er könnte also schon ahnen, dass hier viele Daten ausgelesen werden. Fazit: Entwickler, die solche Module einbinden, nehmen die Privatsphäre ihrer Nutzer nicht sehr ernst.

 

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!