Ratgeber

App-Module (SDKs): So tracken Apps ihre Nutzer

Ein Artikel von , veröffentlicht am 30.05.2017, bearbeitet am26.11.2018
Bild: Pixabay CC0 / mwewering

In vielen Apps sind Software-Bausteine enthalten, die nicht vom Hersteller der App stammen, sondern von Analysediensten oder Werbefirmen. Man nennt sie „SDKs“ oder „Module“. Oft sammeln diese Module Nutzerdaten und schicken sie direkt an ihren Hersteller. Welche Module eine App enthält, sieht man ihr nicht an.

Praktisch: Fertige Bausteine für bestimmte Funktionen

Module sind fertige Software-Bausteine, die man in eine App einbauen kann. Im Jargon nennt man so einen Baustein "SDK", das steht für den englischen Begriff "Software Development Kit". Module können unterschiedliche Aufgaben haben. Meist übernehmen sie eine bestimmte Standardfunktion, etwa Bilder anzeigen oder den Anwender ein Datum auswählen lassen.

Viele Entwickler stellen derartige Module bereit, damit andere Entwickler sie in ihre Apps integrieren können. Der Einsatz von solchen Funktionsmodulen ist ein sinnvolles Konzept: Das Rad muss nicht von jedem Programmierer neu erfunden werden, sondern es kann auf bestehendes Wissen zurückgegriffen werden, indem es gebündelt als Baustein übernommen wird. So können Fehler behoben und Funktionen ergänzt werden und jeder Entwickler kann sich auf das konzentrieren, was er oder sie am besten kann.

Hilfreich: Apps verbessern mit Analyse-SDKs

Eine Kategorie dieser Bausteine sind so genannte Analysemodule. Sie tragen nicht direkt zur eigentlichen Funktionalität der App bei, sind aber dennoch oft sinnvoll: Sie sollen Fehler in der App nachvollziehbar machen, damit Entwickler die Ursache einfacher beheben können. Allerdings ist die Grenze zwischen Analyse und Marketing fließend: Analysedienste kommen auch zum Einsatz, um zu messen, ob eine Werbekampagne erfolgreich war oder um herauszufinden, für welche Werbung sich ein Nutzer interessiert.

Klassische Dienste zur Absturzanalyse erfassen zum Beispiel viele technische Daten. Dienste zur Nutzer- und Marketing-Analyse erfassen auch inhaltliche Daten, zum Beispiel, worauf ein Nutzer geklickt hat.

Analyse-Module werden von Firmen bereitgestellt, die in der Regel die Analyse selbst vornehmen. Die Entwickler bekommen dann ein aufbereitetes Ergebnis zu sehen. Die Nutzerdaten selbst, die ein Analysemodul ausliest, landen hingegen bei der Analysefirma. Welche Analysedienste in einer App eingebunden sind, erfährt der Nutzer meistens nicht.

Aus Datenschutzperspektive sind Analysemodule ein Graubereich. Es ist durchaus legitim und erlaubt, dass ein App-Anbieter ein Analyseunternehmen beauftragt. Dabei wird ein Vertrag geschlossen und rechtlich gesehen ist der Anbieter weiterhin der "Besitzer" der gesammelten Daten und für ihre Sicherheit und rechtmäßige Verwendung verantwortlich.

Einige Analysedienste, die meist kostenpflichtig sind, arbeiten so. Zum Beispiel der deutsche Anbieter "Adjust". Bei anderen Firmen ist die Sache weniger eindeutig. Zum Beispiel bei Facebooks kostenlosem Analysedienst, "Facebook Analytics". Hier muss man aufgrund von Faceooks Datenschutzbestimmungen davon ausgehen, dass Facebook die zur Analyse gesammelten Daten auch mit bestehenden Nutzerprofilen verknüpft.

Es kommt hier also auf die Auswahl des Dienstleisters an.

Einige Anbieter von Analyse-Modulen, die besonders auffällig sind oder besonders oft vorkommen, lernen Sie im Beitrag App-Module vorgestellt kennen.

App-Tracking über Werbemodule

Die meisten Entwickler möchten für ihre Arbeit an einer App bezahlt werden. Leider sind die wenigsten Anwender bereit, auch nur einen Euro dafür auszugeben. An dieser Stelle kommen Werbemodule ins Spiel.

Viele Programmierer finanzieren sich durch Werbung. Gemäß einer 2016 durchgeführten Studie enthalten mehr als 41 Prozent aller Apps im Google Play-Store mindestens ein Werbemodul. Es ist durchaus üblich, dass gleichzeitig mehrere Werbemodule verschiedener Anbieter in einer App zu finden sind.

Werbemodule werden von sogenannten Werbenetzwerken bereitgestellt. Das sind Unternehmen, die sich darauf spezialisiert haben, mit Hilfe von Nutzerprofilen Werbung zielgenau zu verteilen. Sie versuchen daher stets herauszufinden, ob sie zu einem bestimmten Nutzer bereits ein Profil haben. Dafür fragen sie in der Regel eine Kennnummer vom Gerät ab. Bei iOS ist das die Apple Ad-ID, bei Android die Google Werbe-ID.

Befindet sich ein Profil mit der entsprechenden Werbe-ID in der Datenbank, bekommt der Nutzer dazu passende Werbung angezeigt. Gleichzeitig haben Werbenetzwerke ein Interesse daran, ihre Nutzerprofile weiter zu ergänzen. Deshalb versuchen sie, über den Nutzer so viele weitere Informationen wie möglich zu sammeln: Zum Beispiel, welche App er gerade nutzt, welches Gerät, wo er sich aufhält und vieles mehr.

Auch hier gilt: Den Namen der eingebundenen Werbenetzwerke erfährt der Nutzer in der Regel nicht.

Der Android-Spezialist und Autor dieses Textes, Andreas Itzchak Rehberg, hat diese Module in einer Studie zwischen Februar und April 2017 genauer untersucht. Dieser Text basiert auf den Ergebnissen der Studie. Die komplette Studie gibt es auf seiner Webseite.

Allgemeine Implikationen

Module, die nicht zur eigentlichen Funktionalität von Apps beitragen – also Analyse- und Werbemodule –, haben ihren Preis. Zunächst einmal benötigt jedes Modul Speicherplatz. Zweitens benötigen Analyse- und Werbemodule zusätzliches Datenvolumen: Statistiken und weitere Informationen müssen hoch-, Werbung heruntergeladen werden.

In manchen Apps gehen 90 Prozent des Datenverkehrs nur auf solche Module zurück. Zusätzlich werden Rechenkapazität, Arbeitsspeicher und auch Akku benötigt. Und: Einige dieser „Drittanbieter-Helfer“ scheinen ziemlich gierig nach Nutzerdaten zu sein. Oft tun sie weit mehr, als vom Entwickler beabsichtigt.

Einige dieser Analyse- und Werbe-Module sind dafür bekannt, aggressiv in die Privatsphäre der Anwender einzudringen – und auch sonst lästiges Verhalten zu zeigen, wie etwa Pop-ups und unangemessene Werbung anzuzeigen.

Hinzu kommt, dass sie nicht selten als Einfallstor für Schadprogramme dienen. Zum einen auf Grund von Programmierfehlern, zum anderen, weil die Betreiber der Werbenetzwerke in der Regel nicht prüfen, ob die Werbeanzeigen, die sie verteilen, Schadprogramme enthalten.

In unserem Beitrag Werbe-Apps: Von nervig bis gefährlich erklären wir genauer, warum Werbung ein Sicherheitsrisiko ist.

Werbe- und Analysemodule sind Datensammler

Praktisch jedes Werbemodul greift auf mindestens einen „Identifier“ zu, also auf eine Information, mit der ein Nutzer einem Nutzerprofil zugeordnet werden kann. Meistens ist das die Werbe-ID (für Apple oder Google). Werbeanbieter, die sich an die Vorgaben durch die EU-Datenschutz-Grundverordnung (DSGVO) halten, fragen darüber hinaus keine weiteren Kennnummern ab.

Bei Android-Geräten wird ansonsten oft auch die Android-ID übertragen, seltener die IMEI, WiFi-MAC-Adresse, Seriennummer oder Telefonnummer. Nicht selten werden diese Daten völlig unverschlüsselt und im Klartext übertragen – ein gefundenes Fressen für alle, die unterwegs „mitschneiden“.

Es gibt eine Menge Merkmale und Kennnummern, mit denen ein Smartphone eindeutig identifizierbar ist. Wer die einzelnen Merkmale festlegt, wer sie auslesen kann und ob man sie ändern kann, erklären wir im Beitrag Was sind Identifier?

Wird das gleiche Modul in mehreren der installierten Apps verwendet, lassen sich aus den gesammelten Daten umfangreiche Anwenderprofile erstellen: Über die erfassten Identifier lassen sich die einzelnen Sammlungen leicht verknüpfen. Für Analytics-Module gilt das gleichermaßen.

Die häufig eingesetzten Module gehören oft den bekannten, großen IT-Konzernen. Eine Studie der Universität Oxford hat eine Millionen Android-Apps analysiert und ist zum Schluss gekommen, dass 88% der Apps über eingebaute Module eine Datenverbindung mit Google vorsehen, 43% mit Facebook und 34% mit Twitter.

Keine Trennung zwischen App und Modul

Was kaum einem Nutzer klar ist: Alle Berechtigungen der eigentlichen App gelten auch für die Module einer App. Hat eine App zum Beispiel Zugriff auf das Adressbuch, so haben die eingebauten Module diesen Zugriff ebenfalls.

Was App-Berechtigungen sind und wie man sie einschränken kann, erklären wir im Beitrag App-Berechtigungen (Android).

Da in den meisten Fällen der Quelltext der Module nicht offenliegt, können Entwickler nicht prüfen, was ein Modul tatsächlich tut, sondern müssen sich auf die Angaben des Herstellers verlassen. Allerdings gibt es oft eindeutige Hinweise: So fordern einige Module viele Berechtigungen. Damit ein Entwickler dieses Modul einbinden kann, muss er seine App so programmieren, dass sie die Berechtigungen erhält, die das Modul benötigt.

Er könnte also schon ahnen, dass hier viele Daten ausgelesen werden. Fazit: Entwickler, die solche Module einbinden, nehmen die Privatsphäre ihrer Nutzer nicht sehr ernst.

Weitere Artikel

Ratgeber 

AdVersary: Werbefreie Zone (Android)

Werbung in Apps ist nicht nur lästig, sie kann auch in die Privatsphäre eines Nutzers eingreifen. Zudem können Werbebanner Links zu schädlichen Seiten enthalten. Eine neue Android-App namens AdVersary entfernt Werbung aus anderen Apps.

Mehr
YouTube-Video 

Firefox-App auf Android einstellen: So geht’s

Sie haben keine Lust mehr, von Googles Browser Chrome getrackt zu werden? Dann wechseln Sie am besten zu Mozillas datensparsamer Alternative Firefox. Im Video führen wir Schritt für Schritt durch die Einstellungen.

Ansehen
YouTube-Video 

Schnüffelmodule in kostenlosen Apps

Werbung in Apps ist oft nervig, aber noch problematischer ist, dass Werbemodule darin oft viele Daten ausspähen. Diese gehen nicht nur an die App-Entwickler, sondern auch an Werbefirmen. Wir erklären, was Sie tun können, um Ihre Daten zu schützen.

Ansehen
Ratgeber 

Rooten und Jailbreak – Erlischt die Gewährleistung?

Wer einen PC kauft, der darf dort jedes passende Betriebssystem installieren. Auch bei Smartphones kann man die Systemsoftware verändern – allerdings ist die Rechtslage nicht so eindeutig. Denn die Hersteller sehen „Jailbreak“ und „Rooten“ gar nicht gerne.

Mehr