Das ist Maps.me
Maps.me ist eine Navigations-App, die auf dem Kartenmaterial des Gemeinschaftsprojektes OpenStreetMap beruht. Seit 2014 gehört der Dienst zur My.com B.V. (eine B.V. ist das niederländische Pendant zur GmbH) mit Sitz in Amsterdam. Die My.com B.V. ist eine Tochterfirma der russischen mail.ru-Gruppe.
Der Programmcode der Maps.me-App ist quelloffen (Open Source), das heißt, jeder kann ihn sehen und analysieren. Sie zählt rund 50 Millionen Downloads im Play-Store und ist auch für iOS verfügbar.
Der Dienst schaltet nach eigenen Angaben Werbung und ermöglicht Werbepartnerschaften. Gegen Bezahlung können Unternehmen laut Webseite zum Beispiel bestimmte Einträge auf den Karten veranlassen. Informationen zu Hotels werden über eine Partnerschaft mit Booking.com angezeigt.
Die Routenberechnung ist bei Maps.me auch ohne Internetverbindung möglich.
Unser Test im Überblick
Getestet haben wir die App-Version 8.3.6-Google aus dem Play-Store. In unserem Kurztest nahm Maps.me nicht nur Verbindung zum Dienstanbieter, sondern außerdem zu sechs weiteren Unternehmen auf. Bis auf eine Ausnahme erhielten alle diese Unternehmen eindeutige Kennnummern aus unserem Gerät.
Mit deren Hilfe können Informationen aus der App mit anderen Informationen über den Nutzer verknüpft werden. So erfährt Facebook etwa, dass und wann man diese App nutzt und kann dies mit dem eigenen Nutzerprofil bei Facebook verknüpfen.
My.com fragt unter anderem auch den Namen und die MAC-Adresse des WLAN-Routers ab (BSSID und SSID). Mit diesen Informationen könnte der Standort des Nutzers ermittelt werden, obwohl die Standort-Berechtigung nicht gegeben wurde.
Die Betreiber von Maps.me geben in der verlinkten, englischsprachigen Datenschutzerklärung an, dass sie alle gesammelten Informationen aus der App mit anderen Firmen des Konzerns teilen. Zudem werden die Standortdaten verwendet, um passende Werbung anzuzeigen. Opt-out ist nur per Mail an den Anbieter möglich. Die eingebundenen Unternehmen erwähnt der Anbieter nicht.
Schlechtes Ergebnis bei Mail-Apps
Die Anbieter My.com und mail.ru sind unserer Redaktion schon 2017 im Zusammenhang mit ihren hauseigenen Mail-Apps negativ aufgefallen.
Die Apps übertrugen in unserem Test die Zugangsdaten eingebundener E-Mail-Konten an den Hersteller der App. Das ist ein nicht hinnehmbares Datenleck: Mitarbeiter der Mail-App könnten theoretisch die E-Mails der Nutzer lesen. Das Problem wurde bis heute nicht behoben (Stand 11.09.2018).
Während andere Hersteller diesen Fehler nach unserem Hinweis umgehend korrigierten, haben sich die Anbieter von mail.ru und mail.com bis heute nicht dazu geäußert.
Fazit
Maps.me ist vollgestopft mit Trackern und Werbediensten, erfasst unnötig viele Geräte-Daten und zeigt nur wenig erkennbares Interesse, die eigenen Nutzer über diese Tatsachen zu informieren. Sie verstößt sehr wahrscheinlich gegen geltendes Datenschutzrecht und gegen Google-Richtlinien zum Umgang mit der Android Werbe-ID.
Fazit: Für Navi-Apps gibt es deutlich bessere Alternativen.
Unser Test im Detail
Hier informieren wir im Detail, zu welchen Servern die App Kontakt aufnimmt und welche Daten sie überträgt.
Folgende Informationen fassen wir unter dem Begriff „Standardinformationen“ zusammen, da sie in fast jeder Verbindung übertragen werden:
- Android-Version
- Gerätehersteller und Modell
- Sprache und Zeitzone
- Genutzte App und Version (maps.me)
- Datum und Uhrzeit
My.com [https://tracker-api.my.com/v2/]: Der Diensteanbieter My.com betreibt selbst Nutzertracking. Dabei fragt die App auch SSID und BSSID-Namen des WLAN-Routers ab, falls man über WLAN verbunden ist. Mit diesen Informationen könnte der genaue Standort des Nutzers ermittelt werden. Zudem erfasst der Dienst Android-ID und Werbe-ID gemeinsam. Laut Googles eigener Richtlinie zum Umgang mit der Werbe-ID ist das verboten. Alle gesammelten Informationen teilt My.com mit zugehörigen Firmen und dem Mutterkonzern. Folgende Informationen werden übertragen:
- Android-ID, Build-Nummer, MAC-Adresse, Android Werbe-ID, SIM-Operator-ID (lässt Rückschlüsse auf den Mobilfunkanbieter zu), WLAN-Name (SSID und BSSID), Standardinformationen.
Mail.ru [https://apinotify.mail.ru]: Mail.ru ist der Mutterkonzern des Dienstbetreibers. Übertragen werden folgende Informationen:
- Android-ID, Android Werbe-ID, WLAN-Name (SSID), Standardinformationen.
Facebook: Facebook ist als Analysetool und zum Ausspielen von Werbung eingebunden. Übertragen werden folgende Informationen:
Appsflyer: Analysedienst, der vor allem identifiziert, von welchem Link aus Nutzer zur Installation einer App gekommen sind. Geschäftssitz ist Herzliya, Israel. An den Dienst werden folgende Informationen übertragen:
- Android Werbe-ID, Mobilfunkanbieter, Build-Nummer, verbauter Prozessor (CPU), Details zu den verbauten Sensoren (z.B. Hersteller und Kennnummern von Gyroskop, Magnetomenter, Accelometer), Standardinformationen, verschiedene Nutzungsdaten, z.B. Datum der Installation und erster Start, Zeit seit dem letzten Start, etc.
Crashlytics (Google): Dienstleister, der Apps auf Fehler und Abstürze analysiert, aber auch Nutzungsanalysen durchführt. Gehört zum Google-Konzern.
- An den Dienst werden verschiedene Daten verschlüsselt übertragen, deren Inhalt wir nicht näher analysieren können.
Flurry: Dienstleister, der Nutzerverhalten analysiert und das Marketing unterstützt. Gehört zum Internetkonzern Yahoo. An den Dienst werden unter anderem Android-ID und Werbe-ID gemeinsam übertragen. Laut Googles eigener Richtlinie zum Umgang mit der Werbe-ID ist das verboten. Folgende Informationen haben wir in der Datenverbindung entdeckt:
- Android-ID, Build-Nummer, Android Werbe-ID, Standardinformationen, weitere verschlüsselte Informationen.
Pushwoosh: Ein Dienst, der In-App-Messaging und Push-Nachrichten anbietet. Unternehmenssitz ist Delaware, USA. Während der Nutzung wird übermittelt:
- Android-ID, Events (z.B. ob Fahrradrouten benutzt wurden). Keine Standardinformationen.
MoPub: Werbedienst, fungiert als „Mediator“, über den Entwickler mit einem einzigen Baustein mehrere Werbenetze einbinden können. MoPub Inc. ist ein Tochterunternehmen von Twitter und hat seinen Geschäftssitz in San Francisco, USA. Übertragen werden: