Hintergrund

Was sind „Identifier“? (Android)

X-Ray

In unseren App-Tests und beim Thema Tracking erwähnen wir sie regelmäßig: Sogenannte Identifier, also Identitäts-Informationen wie Android-ID oder IMEI. Wir erklären, was die rätselhaften Abkürzungen bedeuten und was sie mit Privatsphäre zu tun haben.

Veröffentlicht am
Autor
Schlagworte
Privatsphäre · Tracking · Werbung
Drucken

Viele Webseiten, Apps und Online-Dienste versuchen, ihre Nutzer oder Besucher zu erkennen. Zum Beispiel, um herauszufinden, ob der Seitenaufruf heute um 14:00 Uhr von demselben Nutzer stammt, der gestern um 18:30 Uhr schon einmal die Seite besucht hat. Dazu müssen nicht unbedingt Name und Adresse bekannt sein. Eine eindeutige Nummer, die zum Beispiel das Handy des Nutzers identifiziert, reicht schon aus.

Es gibt viele Gründe dafür, Nutzer unterscheiden zu wollen. Zum Beispiel, um zu erfahren, wer eine Webseite besucht, wie lange er oder sie bleibt, welchen Browser er oder sie benutzt – wie wir es auch auf dieser Seite tun. Diese Informationen sind interessant, wenn man seine Webseite nutzerfreundlicher machen möchte. Auch Betrugsprävention ist ein häufiger Grund. So prüft Google beim Anmelden im Google-Konto nicht nur die eingegebenen Zugangsdaten, sondern auch ob der Nutzer aus einem anderen Land oder von einem anderen Gerät aus zugreift. Dies könnten Hinweise dafür sein, dass die Zugangsdaten gestohlen wurden.

Am häufigsten werden Identitätsmerkmale aber erfasst, um Nutzer-Profile zu erstellen, die dann für Marketing- und Datenhandel verwendet werden. Den wenigsten Nutzern ist klar, wie weitreichend die Informationen sind, die durch Identifier in Nutzerprofilen landen. Selbst wenn die Betroffenen der Erfassung zugestimmt haben – was oft genug nicht der Fall ist –, darf bezweifelt werden, ob es sich um eine informierte Zustimmung handelt.

Es gibt viele verschiedene solcher Identifier, mit denen man Nutzer mehr oder weniger eindeutig zuordnen kann. Einige lassen weitreichende Rückschlüsse zu. Manche Nutzermerkmale bekommt jede Webseite oder jede App zu sehen, einige sind durch Berechtigungen geschützt. Die wichtigsten Identifier, und wofür sie verwendet werden, haben wir in dieser Liste erklärt:

Betriebssystemunabhängige Identifier

Viele Identifier sind vom Betriebssystem unabhängig und beziehen sich direkt auf die verwendete Hardware, also das konkrete Smartphone oder Tablet. Diese sind überwiegend so angelegt, dass Nutzer nicht selbst Änderungen vornehmen können, etwa um ihre Identität zu verschleiern. Allerdings können einige Identifier modifiziert werden, wenn Nutzer ihr Gerät „rooten“ und damit erweiterte Rechte erhalten, sogenannte Root-Rechte.

Device-ID (auch Device Serial)

Wie bei den meisten Geräten üblich, gibt es auch bei Android-Smartphones und -Tablets eine Seriennummer – die Device-ID. Sie dient bei der Kommunikation mit einem via USB verbundenen Computer zur Identifizierung des Android-Gerätes. Diese Nummer ist in der Regel so gespeichert, dass sie selbst das Zurücksetzen auf Werkseinstellungen übersteht. Apps können ohne weiteres darauf zugreifen, da sie von keiner Berechtigung geschützt ist.

Anwender können die gespeicherte Device-ID nur mit Root-Rechten ändern. Man kann sie aber anzeigen lassen. Meistens ist sie in den Geräte-Einstellungen unter „Über dieses Telefon → Status → Serial“ zu finden. Sie wird vom Hersteller der System-Software vergeben, die auch das Betriebssystem enthält.

MAC-Adresse

Mit ihr werden die Netzwerk-Adapter identifiziert. Die Netzwerk-Adapter sind die Bauteile im Mobilgerät, die die WLAN- und Bluetooth-Verbindung herstellen. Es gibt also je Gerät eine MAC-Adresse für Bluetooth und eine für den WLAN-Adapter.

Die MAC-Adressen sind weltweit eindeutig – und lassen somit einen eindeutigen Rückschluss auf das Gerät zu. Sie sind fest im Gerät gespeichert und vom Nutzer nicht änderbar. Mit Root-Rechten ist es aber möglich, eine andere MAC-Adresse vorzugaukeln, wenn zum Beispiel Apps versuchen, die MAC-Adressen auszulesen.

Apps mit der Berechtigung „Netzwerkverbindungen abrufen“,Bluetooth“, „Standort (grob und genau)“ sowie „Zugriff auf alle Netzwerke“  können auf die MAC-Adressen zugreifen. Ab Android 6.0 wird sie normalen Apps bei den ersten drei Berechtigungen vorenthalten – sie bekommen auf Anfrage nur einen Standard-Eintrag (02:00:00:00:00:00) zu sehen. Mit der Berechtigung „Zugriff auf alle Netzwerke“ lässt sich die WLAN-MAC-Adresse aber weiterhin ermitteln.

IMEI (für „International Mobile Station Equipment Identity“)

Sie identifiziert jedes Mobilfunk-Gerät weltweit eindeutig und ist normalerweise fest in der Hardware des Gerätes gespeichert. Die IMEI wird beim Kontakt zum Mobilfunknetz an den Netzbetreiber übertragen. Einige Netzbetreiber sperren Geräte anhand der IMEI, wenn diese als gestohlen gemeldet werden (in Deutschland derzeit nur Vodafone).

Es ist in Deutschland an sich nicht illegal, sie zu ändern, könnte aber gegen Nutzungsbedingungen verstoßen. Geschieht es, um eine Straftat zu verschleiern, ist es strafbar. Apps mit der Berechtigung „Telefonstatus und Identität abrufen“ können darauf zugreifen.

IMSI (für „International Mobile Subscriber Identity“)

Die IMSI (übersetzt „Internationale Mobilfunk-Teilnehmerkennung“) ist auf der SIM-Karte hinterlegt. Beim Kontakt zum Mobilfunknetz identifiziert sie das Telefon, beziehungsweise die SIM-Karte gegenüber dem Mobilfunkmast. Die IMSI zu ändern, kann den Kontakt zum Mobilfunknetz stören. Apps mit der Berechtigung „Telefonstatus und Identität abrufen“ können darauf zugreifen.

Telefonnummer

Sie ist weltweit eindeutig und kann nicht beliebig geändert werden. Apps mit der Berechtigung „Telefonstatus und Identität abrufen“ können darauf zugreifen.

Hostname

Der Hostname identifiziert mit einem voreingestellten Wert das Gerät nahezu eindeutig im Netzwerk. Wenn man sich etwa mit einem WLAN-Hotspot verbindet, wird das Gerät dort mit dem Hostname angezeigt. Einsehen und Ändern lässt er sich in den Entwickler-Einstellungen.

IP-Adresse

Die IP-Adresse identifiziert ein Gerät im Internet (zum Beispiel einen Router mit Verbindung zum Internet). IP steht dabei für „Internet Protocol“. Die IP-Adresse ändert sich in der Regel häufig. Anhand der IP-Adresse lässt sich auf den groben Aufenthaltsort (Länderebene und größere Städte) schließen. Der Internetanbieter kann die IP-Nummern in der Regel einer realen Adresse und einem Anschlussinhaber zuordnen.

Im Zuge der Vorratsdatenspeicherung wurden Internet-Provider dazu verpflichtet, Verzeichnisse zu führen, welche IP-Adresse zu welchem Zeitpunkt welchem Kunden zugeordnet war. Der Zugriff erfolgt über die Berechtigung „Netzwerkverbindungen abrufen“ oder „WLAN-Verbindungen abrufen“ (von etwa 70 Prozent bzw. 30 Prozent aller Apps verlangt).

Betriebssystemspezifische Identifier unter Android

Android-ID (Auch SSAID für Settings.Secure#ANDROID_ID)

Die Android-ID wird bei der ersten Inbetriebnahme vom Betriebssystem erstellt. Im Gegensatz zur „GSF Android-ID“ (siehe unten) ist sie auf jedem Android-Gerät vorhanden und identifiziert den jeweiligen Nutzer. Bei Geräten, die mehrere Nutzer verwalten können, gibt es für jedes Nutzer-Konto eine Android-ID.

Sie wird im lokalen Dateisystem gespeichert. Nutzer ohne Root-Rechte können sie weder ändern noch anzeigen lassen. Durch Zurücksetzen auf Werkseinstellungen wird sie gelöscht. Beim nächsten Start wird dann eine neue SSAID erstellt.

GSF Android-ID

Diese Android-ID wird vom Google Services Framework (GSF), einem Hintergrundprogramm für Googles eigene Apps, verwaltet. Handelsübliche Android-Geräte, auf denen Google-Apps vorinstalliert sind, nutzen das GSF. Die GSF Android-ID wird bei der ersten Inbetriebnahme erstellt und auf dem Gerät gespeichert. Sie kann durch Zurücksetzen auf Werkseinstellungen gelöscht werden. Geschützt wird sie von der Berechtigung „Google Service-Konfiguration lesen“ – welche von zahlreichen Apps angefordert wird.

Google Werbe ID (auch GAAID für Google Advertising ID)

Die Werbe-ID ist eine eindeutige ID für Werbezwecke, die von den Google-Play-Diensten bereitgestellt wird. Sie kann vom Anwender unter „Google Einstellungen → Werbung“ (Ab Android 6.0 über Google-Konto) zurückgesetzt werden. Für den Zugriff benötigen Apps lediglich die Berechtigung „Zugriff auf alle Netzwerke“ – welche fast alle Apps anfordern.

Eingerichtete Konten

Eine Liste der eingerichteten Konten können Apps mit der Berechtigung „Konten auf dem Gerät suchen“ abrufen (dies trifft auf etwa 20 Prozent aller Android-Apps zu). Apps mit dieser Berechtigung können auch die E-Mail-Adressen auslesen, die zu verknüpften Google-Konten gehören.

Eigentümer-Info

Das ist der sogenannte „Me“ oder „Ich-Kontakt“, der gewöhnlich vom Anwender selbst im Adressbuch gepflegt werden muss. Hat man hier nichts hinterlegt, gibt es auch nichts zu holen – selbst wenn eine App über die dafür notwendige Berechtigung „Das persönliche Profil des Anwenders lesen“ verfügt (weniger als 3 Prozent aller Apps).

Installierte Apps

Auf diese Liste darf jede App mit der Berechtigung „Laufende Anwendungen abrufen“ zugreifen. Da die Zusammenstellung von Apps durchaus persönliche Vorlieben widerspiegelt, können Nutzer auch hierüber identifiziert werden, besonders im Zusammenspiel mit weiteren Daten.

Herstellerspezifische IDs

Je nach Hersteller gibt es weitere eindeutige Bezeichner für ein Mobilgerät. Große Hersteller wie Motorola oder Samsung vergeben eine ID für jedes Gerät. Darüber werden dann beispielsweise Fehlerberichte zugeordnet, die vom Gerät an den Hersteller verschickt werden.

 

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!