Ratgeber

Navi-Apps im Check: Maps.me – nicht empfehlenswert

Ein Artikel von , veröffentlicht am 17.09.2018

Die Navigations-App Maps.me ist vollgestopft mit Trackern und Werbediensten, erfasst extrem detaillierte Geräte-Daten und zeigt wenig Interesse, die eigenen Nutzer aufzuklären. Der Anbieter ist auch schon im Zusammenhang mit Mail-Apps negativ aufgefallen.

HINWEISManuell durchgeführte App-Analysen wie diese gelten grundsätzlich nur für die getestete App-Version und haben damit den Charakter einer Momentaufnahme. Aktuelle Testberichte für mehr als 30.000 Android-Apps finden Sie seit Oktober 2020 über unseren AppChecker.

Das ist Maps.me

Maps.me ist eine Navigations-App, die auf dem Kartenmaterial des Gemeinschaftsprojektes OpenStreetMap beruht. Seit 2014 gehört der Dienst zur My.com B.V. (eine B.V. ist das niederländische Pendant zur GmbH) mit Sitz in Amsterdam. Die My.com B.V. ist eine Tochterfirma der russischen mail.ru-Gruppe.

Der Programmcode der Maps.me-App ist quelloffen (Open Source), das heißt, jeder kann ihn sehen und analysieren. Sie zählt rund 50 Millionen Downloads im Play-Store und ist auch für iOS verfügbar.

Der Dienst schaltet nach eigenen Angaben Werbung und ermöglicht Werbepartnerschaften. Gegen Bezahlung können Unternehmen laut Webseite zum Beispiel bestimmte Einträge auf den Karten veranlassen. Informationen zu Hotels werden über eine Partnerschaft mit Booking.com angezeigt.

Die Routenberechnung ist bei Maps.me auch ohne Internetverbindung möglich.

Unser Test im Überblick

Getestet haben wir die App-Version 8.3.6-Google aus dem Play-Store. In unserem Kurztest nahm Maps.me nicht nur Verbindung zum Dienstanbieter, sondern außerdem zu sechs weiteren Unternehmen auf. Bis auf eine Ausnahme erhielten alle diese Unternehmen eindeutige Kennnummern aus unserem Gerät.

Mit deren Hilfe können Informationen aus der App mit anderen Informationen über den Nutzer verknüpft werden. So erfährt Facebook etwa, dass und wann man diese App nutzt und kann dies mit dem eigenen Nutzerprofil bei Facebook verknüpfen.

My.com fragt unter anderem auch den Namen und die MAC-Adresse des WLAN-Routers ab (BSSID und SSID). Mit diesen Informationen könnte der Standort des Nutzers ermittelt werden, obwohl die Standort-Berechtigung nicht gegeben wurde.

Die Betreiber von Maps.me geben in der verlinkten, englischsprachigen Datenschutzerklärung an, dass sie alle gesammelten Informationen aus der App mit anderen Firmen des Konzerns teilen. Zudem werden die Standortdaten verwendet, um passende Werbung anzuzeigen. Opt-out ist nur per Mail an den Anbieter möglich. Die eingebundenen Unternehmen erwähnt der Anbieter nicht.

Schlechtes Ergebnis bei Mail-Apps

Die Anbieter My.com und mail.ru sind unserer Redaktion schon 2017 im Zusammenhang mit ihren hauseigenen Mail-Apps negativ aufgefallen.

Die Apps übertrugen in unserem Test die Zugangsdaten eingebundener E-Mail-Konten an den Hersteller der App. Das ist ein nicht hinnehmbares Datenleck: Mitarbeiter der Mail-App könnten theoretisch die E-Mails der Nutzer lesen. Das Problem wurde bis heute nicht behoben (Stand 11.09.2018).

Während andere Hersteller diesen Fehler nach unserem Hinweis umgehend korrigierten, haben sich die Anbieter von mail.ru und mail.com bis heute nicht dazu geäußert.

Fazit

Maps.me ist vollgestopft mit Trackern und Werbediensten, erfasst unnötig viele Geräte-Daten und zeigt nur wenig erkennbares Interesse, die eigenen Nutzer über diese Tatsachen zu informieren. Sie verstößt sehr wahrscheinlich gegen geltendes Datenschutzrecht und gegen Google-Richtlinien zum Umgang mit der Android Werbe-ID.

Fazit: Für Navi-Apps gibt es deutlich bessere Alternativen.

Zurück zur Übersicht der Navi-Apps.

Unser Test im Detail

Hier informieren wir im Detail, zu welchen Servern die App Kontakt aufnimmt und welche Daten sie überträgt.

Folgende Informationen fassen wir unter dem Begriff „Standardinformationen“ zusammen, da sie in fast jeder Verbindung übertragen werden:

  • Android-Version
  • Gerätehersteller und Modell
  • Sprache und Zeitzone
  • Genutzte App und Version (maps.me)
  • Datum und Uhrzeit

My.com [https://tracker-api.my.com/v2/]: Der Diensteanbieter My.com betreibt selbst Nutzertracking. Dabei fragt die App auch SSID und BSSID-Namen des WLAN-Routers ab, falls man über WLAN verbunden ist. Mit diesen Informationen könnte der genaue Standort des Nutzers ermittelt werden. Zudem erfasst der Dienst Android-ID und Werbe-ID gemeinsam. Laut Googles eigener Richtlinie zum Umgang mit der Werbe-ID ist das verboten. Alle gesammelten Informationen teilt My.com mit zugehörigen Firmen und dem Mutterkonzern. Folgende Informationen werden übertragen:

Mail.ru [https://apinotify.mail.ru]: Mail.ru ist der Mutterkonzern des Dienstbetreibers. Übertragen werden folgende Informationen:

Facebook: Facebook ist als Analysetool und zum Ausspielen von Werbung eingebunden. Übertragen werden folgende Informationen:

Appsflyer: Analysedienst, der vor allem identifiziert, von welchem Link aus Nutzer zur Installation einer App gekommen sind. Geschäftssitz ist Herzliya, Israel. An den Dienst werden folgende Informationen übertragen:

  •  Android Werbe-ID, Mobilfunkanbieter, Build-Nummer, verbauter Prozessor (CPU), Details zu den verbauten Sensoren (z.B. Hersteller und Kennnummern von Gyroskop, Magnetomenter, Accelometer), Standardinformationen, verschiedene Nutzungsdaten, z.B. Datum der Installation und erster Start, Zeit seit dem letzten Start, etc.

Crashlytics (Google): Dienstleister, der Apps auf Fehler und Abstürze analysiert, aber auch Nutzungsanalysen durchführt. Gehört zum Google-Konzern.

  • An den Dienst werden verschiedene Daten verschlüsselt übertragen, deren Inhalt wir nicht näher analysieren können.

Flurry: Dienstleister, der Nutzerverhalten analysiert und das Marketing unterstützt. Gehört zum Internetkonzern Yahoo. An den Dienst werden unter anderem Android-ID und Werbe-ID gemeinsam übertragen. Laut Googles eigener Richtlinie zum Umgang mit der Werbe-ID ist das verboten. Folgende Informationen haben wir in der Datenverbindung entdeckt:

Pushwoosh: Ein Dienst, der In-App-Messaging und Push-Nachrichten anbietet. Unternehmenssitz ist Delaware, USA. Während der Nutzung wird übermittelt:

  • Android-ID, Events (z.B. ob Fahrradrouten benutzt wurden). Keine Standardinformationen.

MoPub: Werbedienst, fungiert als „Mediator“, über den Entwickler mit einem einzigen Baustein mehrere Werbenetze einbinden können. MoPub Inc. ist ein Tochterunternehmen von Twitter und hat seinen Geschäftssitz in San Francisco, USA. Übertragen werden:

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Artikel drucken:

Beitrag teilen:

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

App-Tipps: Mit dem Handy in den Frühling

Pflanzen am Wegrand bestimmen, erfolgreich Gemüse anbauen oder Vogelstimmen zuordnen – dabei helfen kostenlose Apps. Damit Sie den Frühlingsspaß nicht mit Ihren Daten bezahlen müssen, haben wir vier sichere Apps für Sie recherchiert.

Mehr Ratgeber 

Tibor Kaputa: “I’m not interested in working for some company”

Tibor Kaputa from Slovakia develops Android apps that are designed to replace preinstalled programs such as contacts, calender, gallery and more. His “Simple Mobile Tools” are privacy friendly and open source. Today, working on the apps is his full-time job, Tibor told mobilsicher.

Mehr YouTube-Video 

Video: Fahrplan-App Öffi kurz vorgestellt

Im Juli 2018 flog die Fahrplan-App namens "Öffi" aus dem Google Play-Store. Während noch an einer Lösung gearbeitet wird, haben wir die kostenlose App für Bus und Bahn auf Funktionalität und Datensicherheit getestet. Ergebnis: Eure Daten bleiben, wo sie hingehören - bei euch. Und praktisch ist die App außerdem.

Ansehen YouTube-Video 

Welche Daten sendet meine App? iPhone selbst analysieren (Anleitung)

Welche Daten Ihre iPhone-Apps unbemerkt im Hintergrund versenden, können Sie mit entsprechender Software leicht sichtbar machen. In diesem Video zeigen wir Ihnen, wie das geht.

Ansehen

Kontakt

iRights e.V.
Almstadtstraße 9/11
10119 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Gefördert durch:

Bundesministerium der Justiz und für Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

mobilsicher.de ist ein Projekt des iRights e.V. in Kooperation mit dem ITUJ e.V.
Impressum Kontakt Datenschutz