Ratgeber

Navi-Apps im Check: Maps.me – nicht empfehlenswert

Ein Artikel von , veröffentlicht am 17.09.2018

Die Navigations-App Maps.me ist vollgestopft mit Trackern und Werbediensten, erfasst extrem detaillierte Geräte-Daten und zeigt wenig Interesse, die eigenen Nutzer aufzuklären. Der Anbieter ist auch schon im Zusammenhang mit Mail-Apps negativ aufgefallen.

1.6.2022

Dieser Beitrag wird nicht mehr aktualisiert.
HINWEISManuell durchgeführte App-Analysen wie diese gelten grundsätzlich nur für die getestete App-Version und haben damit den Charakter einer Momentaufnahme. Aktuelle Testberichte für mehr als 30.000 Android-Apps finden Sie seit Oktober 2020 über unseren AppChecker.

Das ist Maps.me

Maps.me ist eine Navigations-App, die auf dem Kartenmaterial des Gemeinschaftsprojektes OpenStreetMap beruht. Seit 2014 gehört der Dienst zur My.com B.V. (eine B.V. ist das niederländische Pendant zur GmbH) mit Sitz in Amsterdam. Die My.com B.V. ist eine Tochterfirma der russischen mail.ru-Gruppe.

Der Programmcode der Maps.me-App ist quelloffen (Open Source), das heißt, jeder kann ihn sehen und analysieren. Sie zählt rund 50 Millionen Downloads im Play-Store und ist auch für iOS verfügbar.

Der Dienst schaltet nach eigenen Angaben Werbung und ermöglicht Werbepartnerschaften. Gegen Bezahlung können Unternehmen laut Webseite zum Beispiel bestimmte Einträge auf den Karten veranlassen. Informationen zu Hotels werden über eine Partnerschaft mit Booking.com angezeigt.

Die Routenberechnung ist bei Maps.me auch ohne Internetverbindung möglich.

Unser Test im Überblick

Getestet haben wir die App-Version 8.3.6-Google aus dem Play-Store. In unserem Kurztest nahm Maps.me nicht nur Verbindung zum Dienstanbieter, sondern außerdem zu sechs weiteren Unternehmen auf. Bis auf eine Ausnahme erhielten alle diese Unternehmen eindeutige Kennnummern aus unserem Gerät.

Mit deren Hilfe können Informationen aus der App mit anderen Informationen über den Nutzer verknüpft werden. So erfährt Facebook etwa, dass und wann man diese App nutzt und kann dies mit dem eigenen Nutzerprofil bei Facebook verknüpfen.

My.com fragt unter anderem auch den Namen und die MAC-Adresse des WLAN-Routers ab (BSSID und SSID). Mit diesen Informationen könnte der Standort des Nutzers ermittelt werden, obwohl die Standort-Berechtigung nicht gegeben wurde.

Die Betreiber von Maps.me geben in der verlinkten, englischsprachigen Datenschutzerklärung an, dass sie alle gesammelten Informationen aus der App mit anderen Firmen des Konzerns teilen. Zudem werden die Standortdaten verwendet, um passende Werbung anzuzeigen. Opt-out ist nur per Mail an den Anbieter möglich. Die eingebundenen Unternehmen erwähnt der Anbieter nicht.

Schlechtes Ergebnis bei Mail-Apps

Die Anbieter My.com und mail.ru sind unserer Redaktion schon 2017 im Zusammenhang mit ihren hauseigenen Mail-Apps negativ aufgefallen.

Die Apps übertrugen in unserem Test die Zugangsdaten eingebundener E-Mail-Konten an den Hersteller der App. Das ist ein nicht hinnehmbares Datenleck: Mitarbeiter der Mail-App könnten theoretisch die E-Mails der Nutzer lesen. Das Problem wurde bis heute nicht behoben (Stand 11.09.2018).

Während andere Hersteller diesen Fehler nach unserem Hinweis umgehend korrigierten, haben sich die Anbieter von mail.ru und mail.com bis heute nicht dazu geäußert.

Fazit

Maps.me ist vollgestopft mit Trackern und Werbediensten, erfasst unnötig viele Geräte-Daten und zeigt nur wenig erkennbares Interesse, die eigenen Nutzer über diese Tatsachen zu informieren. Sie verstößt sehr wahrscheinlich gegen geltendes Datenschutzrecht und gegen Google-Richtlinien zum Umgang mit der Android Werbe-ID.

Fazit: Für Navi-Apps gibt es deutlich bessere Alternativen.

Unser Test im Detail

Hier informieren wir im Detail, zu welchen Servern die App Kontakt aufnimmt und welche Daten sie überträgt.

Folgende Informationen fassen wir unter dem Begriff „Standardinformationen“ zusammen, da sie in fast jeder Verbindung übertragen werden:

  • Android-Version
  • Gerätehersteller und Modell
  • Sprache und Zeitzone
  • Genutzte App und Version (maps.me)
  • Datum und Uhrzeit

My.com [https://tracker-api.my.com/v2/]: Der Diensteanbieter My.com betreibt selbst Nutzertracking. Dabei fragt die App auch SSID und BSSID-Namen des WLAN-Routers ab, falls man über WLAN verbunden ist. Mit diesen Informationen könnte der genaue Standort des Nutzers ermittelt werden. Zudem erfasst der Dienst Android-ID und Werbe-ID gemeinsam. Laut Googles eigener Richtlinie zum Umgang mit der Werbe-ID ist das verboten. Alle gesammelten Informationen teilt My.com mit zugehörigen Firmen und dem Mutterkonzern. Folgende Informationen werden übertragen:

Mail.ru [https://apinotify.mail.ru]: Mail.ru ist der Mutterkonzern des Dienstbetreibers. Übertragen werden folgende Informationen:

Facebook: Facebook ist als Analysetool und zum Ausspielen von Werbung eingebunden. Übertragen werden folgende Informationen:

Appsflyer: Analysedienst, der vor allem identifiziert, von welchem Link aus Nutzer zur Installation einer App gekommen sind. Geschäftssitz ist Herzliya, Israel. An den Dienst werden folgende Informationen übertragen:

  •  Android Werbe-ID, Mobilfunkanbieter, Build-Nummer, verbauter Prozessor (CPU), Details zu den verbauten Sensoren (z.B. Hersteller und Kennnummern von Gyroskop, Magnetomenter, Accelometer), Standardinformationen, verschiedene Nutzungsdaten, z.B. Datum der Installation und erster Start, Zeit seit dem letzten Start, etc.

Crashlytics (Google): Dienstleister, der Apps auf Fehler und Abstürze analysiert, aber auch Nutzungsanalysen durchführt. Gehört zum Google-Konzern.

  • An den Dienst werden verschiedene Daten verschlüsselt übertragen, deren Inhalt wir nicht näher analysieren können.

Flurry: Dienstleister, der Nutzerverhalten analysiert und das Marketing unterstützt. Gehört zum Internetkonzern Yahoo. An den Dienst werden unter anderem Android-ID und Werbe-ID gemeinsam übertragen. Laut Googles eigener Richtlinie zum Umgang mit der Werbe-ID ist das verboten. Folgende Informationen haben wir in der Datenverbindung entdeckt:

Pushwoosh: Ein Dienst, der In-App-Messaging und Push-Nachrichten anbietet. Unternehmenssitz ist Delaware, USA. Während der Nutzung wird übermittelt:

  • Android-ID, Events (z.B. ob Fahrradrouten benutzt wurden). Keine Standardinformationen.

MoPub: Werbedienst, fungiert als „Mediator“, über den Entwickler mit einem einzigen Baustein mehrere Werbenetze einbinden können. MoPub Inc. ist ein Tochterunternehmen von Twitter und hat seinen Geschäftssitz in San Francisco, USA. Übertragen werden:

Artikel drucken:

Beitrag teilen:

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Reportage: Eine Woche ohne Google-Apps

Ein Alltag ohne Google Maps, die Google-Suche und den Play-Store – kann das gutgehen? Unsere Autorin hat für mobilsicher.de zehn Marktführer-Apps von ihrem Smartphone geworfen. Wie es ihr mit den datensparsamen Alternativen ging, erzählt sie hier.

Mehr Ratgeber 

Security desaster: Blue Mail app and other email apps transmit login credentials

This article was originally published 7.3.2018 and refers to Version 1.9.3.20 of the blue mail app unless indicated differently Update (8.3.2018): Blue Mail Inc. has rolled out another Update, to version 1.9.4.2. In this version, we did not observe transmission of password and username with a connected gmx account. It all started with a test […]

Mehr Ratgeber 

Google Family Link: Was Sie über die Kindersicherung wissen sollten

Mit Googles Kindersicherung Family Link können Sie auf dem Android-Handy Ihres Kindes Sperrzeiten für Apps und das ganze Gerät festlegen. Dabei werden allerdings sämtliche Nutzungsdaten über Google-Server geleitet, sodass der Konzern sie mitlesen kann.

Mehr Ratgeber 

Mastodon – das bessere Twitter?

Mastodon funktioniert ähnlich wie der Kurznachrichtendienst Twitter, gehört aber keiner Firma. Stattdessen gibt es viele unabhängige Mastodon-Server, die meist von Einzelpersonen betrieben werden. Wir erklären, wie Mastodon funktioniert und zeigen, wie Sie mitmachen können.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

mobilsicher.de ist ein Projekt des iRights e.V. in Kooperation mit dem ITUJ e.V.
Impressum Datenschutz